Al momento stiamo assistendo a ogni genere di e-mail di sextortion. Si tratta di una truffa poco costosa da mettere in atto, facile da automatizzare e, a quanto pare, abbastanza redditizia da indurre i criminali informatici a continuare a utilizzarla. Alcuni criminali dedicano più cura alla stesura dei messaggi rispetto ad altri.
Le e-mail di “sextortion” sono messaggi in cui i truffatori sostengono di averti ripreso tramite la webcam mentre guardavi materiale pornografico e ora esigono un pagamento. Sono in circolazione da anni e continuano a evolversi con piccole modifiche nella formulazione e nei dettagli tecnici fasulli.
Ciò che non è cambiato è la verità di fondo: non c’è alcun malware, nessuna registrazione e nessuna prova credibile a sostegno della minaccia. Nonostante nel corso degli anni abbia visto innumerevoli versioni di queste e-mail, non ne ho ancora trovata una che fosse supportata dalle prove che il mittente sosteneva di avere.
Di seguito analizzeremo l'e-mail riga per riga, interrompendo il racconto del truffatore con dei commenti che spiegano da dove provengono le affermazioni e perché non reggono a un'analisi approfondita.
“Ciao!
Mi dispiace comunicarti una notizia triste. Circa uno o due mesi fa sono riuscito a ottenere l'accesso completo a tutti i tuoi dispositivi utilizzati per navigare in Internet. Da allora, ho iniziato a monitorare costantemente le tue attività online.”
L'introduzione dà il tono al messaggio. La fraseTotal a tutti i tuoi dispositivi” è un immediato campanello d’allarme, perché è estremamente improbabile e tecnicamente vaga. I veri hacker tendono a essere più specifici riguardo a ciò a cui hanno avuto accesso (quale dispositivo, quale sistema operativo, quale app), mentre i truffatori mantengono deliberatamente una formulazione generica, in modo che chiunque possa pensare che il messaggio si riferisca proprio a sé.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
In questo caso, il truffatore sostiene di aver acquistato l’accesso a una “lunga lista di account e-mail”. Si tratta di un riferimento distorto agli autentici broker di accesso iniziale (IAB) e ai mercati delle credenziali, dove i criminali scambiano password o token di sessione rubati. In questa e-mail, tuttavia, non vengono forniti né password, né ora di accesso, né indirizzo IP: solo un indirizzo e-mail che già conoscevano. Pertanto, non vi è alcuna prova effettiva di appropriazione o compromissione dell’account.
“Nello stesso settimana, ho proceduto a installare un virus trojan nei sistemi operativi di tutti i dispositivi che usi per accedere alla posta elettronica. A dire il vero, non è stato affatto un compito difficile per me (visto che in precedenza hai avuto la gentilezza di cliccare su alcuni dei link presenti nelle email della tua casella di posta). Eh sì, i geni sono tra noi.”
L'affermazione relativa al “virus trojan” riprende quanto abbiamo già osservato in altre campagne di sextortion che citano a caso famiglie di malware o exploit per sembrare credibili. Anche in questo caso, non vengono indicati nomi specifici di malware, percorsi di file o exploit: si tratta semplicemente di una storia generica pensata per spaventare chiunque abbia mai cliccato su un link.
“Grazie a questo trojan riesco ad accedere all’insieme completo dei controller presenti nei dispositivi (ad esempio, la tua videocamera, la tastiera, il microfono e altri). Di conseguenza, ho scaricato senza alcuna difficoltà tutti i dati, comprese le foto, la cronologia di navigazione web e altri tipi di dati, sui miei server. Inoltre, ho accesso a tutti gli account dei social network che utilizzi regolarmente, comprese le e-mail, la cronologia delle chat, i servizi di messaggistica, la rubrica ecc. Il mio virus, unico nel suo genere, aggiorna incessantemente le proprie firme (grazie al controllo esercitato da un driver) e, di conseguenza, non viene rilevato da nessun tipo di antivirus.»
Questa sezione cerca di assumere un tono tecnico citando termini come “controller”, “driver” e “aggiornamento delle firme”. Ma nulla di tutto ciò rispecchia il funzionamento effettivo dei prodotti di sicurezza o del malware. I moderni trojan e spyware possono utilizzare driver, meccanismi di persistenza o crittografia, ma affermazioni del tipo“qualsiasi tipo di antivirus”e “aggiornamento incessante delle firme” sono puro bluff rivolto a lettori non esperti di tecnologia.
«Quindi, immagino che ormai tu abbia già capito il motivo per cui sono sempre rimasto nell’ombra fino a questa stessa lettera…»
Questa affermazione cerca di giustificare un'incongruenza di rilievo. Se l'autore dell'attacco avesse davvero avuto il pieno controllo e avesse monitorato la vittima per «un mese o due», perché l'unica prova è un'e-mail priva di registri, screenshot o video dimostrativi? Se qualcuno possiede davvero materiale compromettente, fornirà almeno qualche prova, perché è proprio questo che costringe le vittime a prendere la questione sul serio.
“Durante la raccolta di tutto il materiale che ti riguarda, ho anche notato che sei un grande appassionato e un assiduo frequentatore di siti web che ospitano contenuti per adulti piuttosto osé. A quanto pare, ti piace davvero visitare siti porno, oltre a guardare video eccitanti e provare piaceri indimenticabili. A dire il vero, non sono riuscito a resistere alla tentazione e ho registrato alcune scene osé in cui recitavi da protagonista, per poi realizzare alcuni video che mostrano le tue scene di masturbazione e di eiaculazione.”
Ecco il classico espediente della sextortion: «Ti ho filmato mentre guardavi un video porno». Abbiamo visto varianti di questa frase almeno dal 2018, spesso riutilizzate parola per parola in vaste campagne di spam. La truffa fa leva sulla vergogna e sulla paura piuttosto che sulla credibilità tecnica. L’obiettivo è spingere le vittime al panico affinché paghino.
«Se fino ad ora non mi credi, mi bastano uno o due clic del mouse per realizzare tutti quei video con tutte le persone che conosci, compresi i tuoi amici, colleghi, parenti e altri. Inoltre, posso caricare tutti quei contenuti video online affinché tutti possano vederli.»
Ancora una volta, si noti la mancanza di prove. Non c’è alcuna immagine di anteprima, nessun video di esempio, nessun riferimento a un account specifico sui social media: solo la minaccia di inviarlo a “tutti quelli che conosci”. È volutamente vago. Lo stesso messaggio deve funzionare per milioni di destinatari con cerchie sociali completamente diverse.
“Credo sinceramente che tu non vorresti certo che si verificassero episodi del genere, considerando i contenuti osceni presenti nei video che guardi abitualmente (sai benissimo a cosa mi riferisco); ciò ti causerebbe un enorme danno. C’è ancora una soluzione a questa questione, ed ecco cosa devi fare: effettua un bonifico di 1.490 USD sul mio conto (l’equivalente in bitcoin, calcolato in base al tasso di cambio in vigore alla data del trasferimento dei fondi); non appena riceverò il bonifico, provvederò immediatamente a eliminare tutti quei video a sfondo sessuale senza alcun ritardo. Dopodiché potremo far sembrare che prima non fosse successo nulla. Inoltre, posso confermare che tutti i trojan verranno disattivati e cancellati da tutti i dispositivi che utilizzi. Non hai nulla di cui preoccuparti, perché mantengo sempre la parola data.”
Il prezzo e il metodo di pagamento — poco meno di 1.500 dollari, pagati in Bitcoin — sono tipici di questo tipo di truffa. Le criptovalute sono molto utilizzate dai truffatori perché i pagamenti sono difficili da annullare e possono essere trasferiti rapidamente. Nonostante la sua reputazione, il Bitcoin non è anonimo e le forze dell’ordine sono riuscite a rintracciare con successo molte transazioni illecite.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Le scadenze ravvicinate e il linguaggio che ricorre al conto alla rovescia sono tattiche di pressione psicologica, non realtà tecniche. I truffatori vogliono che tu ti faccia prendere dal panico, non che rifletta, perché un lettore calmo ha più probabilità di individuare le incongruenze nella storia.
“Il seguente elenco include cose che dovresti tenere a mente ed evitare di fare:
> È inutile provare a rispondere alla mia e-mail (poiché sia questa e-mail che l’indirizzo del mittente sono stati creati all’interno della tua casella di posta).
> È inutile anche chiamare la polizia o qualsiasi altro tipo di servizio di sicurezza. Inoltre, non osare condividere queste informazioni con nessuno dei tuoi amici. Se dovessi scoprirlo (considerate le mie competenze, sarà davvero semplice, poiché controllo tutti i tuoi sistemi e li monitoro costantemente), il tuo video compromettente verrà immediatamente diffuso al pubblico.
> È inutile anche cercare di rintracciarmi: non otterrai alcun risultato. Le transazioni con criptovaluta sono completamente anonime e non rintracciabili.
> È inutile reinstallare il sistema operativo sui dispositivi o cercare di buttarli via. Questo non risolverà il problema, poiché tutti i video in cui sei tu il protagonista sono già stati caricati su server remoti.”
Questa sezione riguarda essenzialmente la gestione delle obiezioni. Il truffatore anticipa le reazioni più comuni — parlare con qualcuno, chiamare la polizia, reinstallare il sistema — e cerca di smorzarle. L’affermazione secondo cui l’indirizzo e-mail sarebbe stato «creato all’interno della tua casella di posta» è particolarmente rivelatrice. Si tratta di un tentativo di far sembrare che un indirizzo mittente generico sia una prova di compromissione del sistema.
“Cose che potrebbero preoccuparti:
> Quel bonifico non mi verrà accreditato. Rilassati, posso controllare tutto immediatamente, quindi una volta completato il bonifico ne avrò la certezza, dato che tengo costantemente traccia di tutte le tue attività (il mio virus trojan controlla tutti i processi da remoto, proprio come TeamViewer).”
Il riferimento a TeamViewer, uno strumento legittimo di accesso remoto, è un’altra tattica che abbiamo riscontrato nelle recenti e-mail di sextortion. Aiuta il truffatore a collegare la propria storia a qualcosa di cui gli utenti potrebbero aver sentito parlare o che potrebbero aver utilizzato sul lavoro. Tuttavia, non vi è ancora alcuna prova di un accesso remoto, e l’affermazione secondo cui il malware “controlla tutti i processi” ignora il funzionamento reale dei sistemi operativi e dei controlli di sicurezza.
“> Che i tuoi video verranno diffusi, anche se hai già completato il trasferimento di denaro sul mio portafoglio. Credimi, per me non ha alcun senso continuare a disturbarti dopo che il trasferimento è andato a buon fine. Inoltre, se questo fosse mai stato parte del mio piano, l’avrei fatto molto prima! Affronteremo la questione in modo chiaro! In conclusione, vorrei darti un ultimo consiglio… d’ora in poi assicurati di non ritrovarti più coinvolto in episodi spiacevoli di questo tipo! Il mio consiglio è di cambiare regolarmente tutte le tue password.”
Concludere con dei consigli sulla sicurezza è una mossa manipolatoria. Offrendo suggerimenti utili, il truffatore cerca di apparire credibile e affidabile, anziché come un criminale. Ciò non cambia il fatto che l’e-mail non contenga alcuna prova a sostegno della veridicità di quanto affermato.
Come reagire alle e-mail di sextortion
Questo esempio è scritto in modo particolarmente scadente, ma molte e-mail di sextortion sono molto più curate e convincenti. A prescindere dall’aspetto professionale che possono avere, vanno trattate tutte allo stesso modo: come minacce infondate volte a spaventare le vittime e indurle a pagare.
- Innanzitutto, non rispondere mai a e-mail di questo tipo. Rispondere conferma che qualcuno sta effettivamente leggendo i messaggi inviati a quell’indirizzo e potrebbe incoraggiare ulteriori tentativi di truffa.
- Non lasciarti mettere sotto pressione e non agire o prendere decisioni affrettate. I truffatori contano proprio sul fatto che tu non ti prenderai il tempo necessario per riflettere e che, di conseguenza, commetterai degli errori. Se hai dei dubbi, chiedi consiglio.
- Un allegato non costituisce una prova. La maggior parte delle e-mail di sextortion non contiene alcuna prova, e i criminali informatici utilizzano spesso gli allegati per diffondere malware o per rendere le loro minacce più convincenti.
- Se l'e-mail contiene una password che hai già utilizzato in passato, modificala immediatamente ovunque sia ancora in uso. Quindi attiva l'autenticazione a due fattori ovunque sia possibile. Se hai difficoltà a gestire le tue password, valuta la possibilità di utilizzare ungestore di password.
- Elimina il messaggio, segnalalo come spam e vai avanti.
Sebbene queste e-mail di sextortion siano quasi sempre dei bluff, se temi che qualcuno possa spiare la tua webcam, Malwarebytes Monitoring può avvisarti quando alcune applicazioni tentano di accedere alla tua fotocamera.
