Avete ricevuto una mail con la vostra password e richiesta di riscatto in bitcoin?

 

Ricatto via mail con password e minaccia di divulgare il filmato della webcamIn questi giorni diversi utenti (tra i quali l’amico Stefano Capaccioli, che ringrazio per la segnalazione giunta fra le prime) mi scrivono di aver ricevuto una mail avente come oggetto… la propria password. Non una password inventata, ma una parola chiave attualmente in uso oppure utilizzata in passato. Il messaggio di posta continua spiegando che, essendo a conoscenza della password, l’autore è stato in grado di accedere al nostro PC tramite un sistema di RDP che gli ha permesso di osservare il monitor e la webcam mentre stavamo guardando film pornografici. Storia non nuova, che ricorda tra l’altro la puntata di Black Mirror nella quale i protagonisti vengono effettivamente ricattati da coloro che hanno avuto accesso alla webcam del loro PC registrandone scene poi oggetto di estorsione.

Qualcuno ha un video del mio PC e della mia webcam?

Colui che possiamo cominciare a definire delinquente aggiunge di aver ripreso sia il video a contenuti pornografici sia noi mentre eravamo in procinto di guardarlo, attivando a nostra insaputa la webcam del PC. Avendo poi acquisito tramite keylogger e remote desktop tutti i dati inclusi i contatti di Messenger, Facebook e posta elettronica – continua il malintenzionato – ci vuole poco a diffondere il video, a meno che non si versi un riscatto – a questo punto è chiaro trattasi di estorsione – di 1.900 dollari in bitcoin verso un indirizzo BTC precisato nell’email.

Il testo precisa poi che si ha soltanto un giorno di tempo per pagare da quando viene letto il messaggio e che l’autore – grazie a un pixel inserito nel messaggio stesso – saprà esattamente quando avremo letto la sua missiva. Trascorsa la giornata, in mancanza di pagamento, non resterà all’hacker che divulgare il filmato ai nostri famigliari, amici e parenti. Se invece verrà versato il riscatto, il video sarà cancellato immediatamente e staremo tranquilli.

Se si vuole avere una prova dell’esistenza di questo video? Non si avrà che da rispondere al messaggio – invece che pagare – e il delinquente ne invierà una copia direttamente a otto contatti – si noti bene, non a noi. In sostanza, nessuno tenterà di avere una prova del video, proprio perché significherebbe già divulgarlo.

Il messaggio originale con la richiesta di riscatto

Questo il testo del messaggio originale, la password reale è stata sostituita con “qwerty123”:

Da: __________ <_________@outlook.com>
Data: 10 luglio 2018 12:53:32 CEST
A: “__________” <_________@gmail.com>
Oggetto: qwerty123
I am aware, qwerty123, is your pass word. you may not know me and you’re most likely thinking why you are getting this e-mail, right?

Let me tell you, I placed a malware on the adult videos (pornography) and you know what, you visited this web site to experience fun (you know what I mean). When you were watching videos, your internet browser began working as a Rdp (Remote desktop) having a keylogger which gave me access to your display and also webcam. After that, my software obtained your complete contacts from messenger, fb, as well as email.

What did I do?
I created a double-screen video. 1st part displays the video you were viewing (you’ve got a nice taste rofl), and second part displays the recording of your cam.

Exactly what should you do?
Well, honestly, $1900 is a fair price for our little secret. You’ll make the payment through Bitcoin (if you do not know this, search “how to buy bitcoin” in google).

BTC ADDRESS: ___________________________
(It is CASE sensitive, so copy and paste it)

Note:
You now have one day in order to make the payment. (I have a special pixel within this email message, and now I know that you have read through this message). If I do not get the BitCoin, I definitely will send out your video recording to all of your contacts including members of your family, colleagues, and many others. nonetheless, if I receive the payment, I’ll erase the video immediately. If you want to have evidence, reply with “yes!” and I will send your video recording to your 8 contacts. It is a non negotiable offer, thus don’t waste my personal time & yours by responding to this email.

Come fanno ad avere la mia password?

La password – come avrà notato chi ha ricevuto il messaggio – è corretta e, se non attuale, è comunque una password utilizzata davvero in passato. I delinquenti hanno raccolto milioni di password sfruttando i vari leak usciti in rete, nel dark web, su Torrent, che contengono i dati rubati a colossi come Dropbox, Linkedin negli ultimi anni.

Ovviamente se non avete cambiato la password, correte subito a farlo, soprattutto perché magari l’avete modificata sul servizio sul quale è stato segnalato il leak ma non su altri dove – cosa da non fare assolutamente – avete utilizzato le stesse credenziali.

Una prova che può fare chiunque è quella di inserire la mail sulla quale avete ricevuto la richiesta di riscatto nel servizio Have I Been Pwned, che permette di conoscere se il nostro indirizzo è inserito nei vari elenchi di password e credenziali usciti nel dark web.

Hanno davvero un filmato della mia webcam?

No, non lo hanno, fanno finta di averlo nella speranza che la vittima paghi, sentendosi in difetto (magari perché qualche video pornografico l’ha effettivamente guardato) e incutendo la paura di divulgare le immagini compromettenti.

In genere quando vengono avviate forme di estorsione – in stile sextortion – il ricattatore mostra alla vittima il malloppo, il materiale che minaccerà di divulgare in caso di mancato pagamento. Il fatto di non mostrarlo è spesso un indice di un mero tentativo d’ingannare la vittima sperando che si convinca di essere davvero ricattabile.

Nel dubbio, serve pagare il riscatto?

Pagare il riscatto non è mai la soluzione. O meglio, in alcuni casi – es. numerosi ransomware – effettivamente permette di ottenere i propri dati, ma a scapito di un favore ai delinquenti che aumenteranno il loro potere distruttivo realizzando sistemi di estorsione sempre più performanti.

Nel caso del ricatto con la mail contenente la nostra password, pagare il riscatto non serve proprio a nulla, dato che il ricattatore non ha i nostri dati (a meno che ovviamente la password non fosse quella attuale e non sia magari andato a scaricarsi il contenuto della nostra casella di posta elettronica). Ci sono poi casi di sextortion nei quali pagando il riscatto si è avviato un meccanismo impossibile da interrompere, fatto di continue richieste di versamento, in genere tramite western union, molto più raramente in bitcoin.

Cercando in rete si trovano riferimenti all’indirizzo bitcoin 1Dvd7Wb72JBTbAcfTrxSJCZZuf4tsT8V72 sul quale alle vittime viene richiesto il pagamento del riscatto, indirizzo tra l’altro che effettivamente ha ricevuto del denaro. Altre segnalazioni mostrano indirizzi diversi, mai utilizzati, non è quindi chiaro se i delinquenti utilizzino un insieme d’indirizzi da ruotare tra le vittime, oppure ci siano più organizzazioni criminali a fare uso di questo sistema di estorsione, ognuna con un indirizzo BTC diverso.

Cosa posso fare per prevenire questo tipo di problemi?

Innanzitutto non usare mai la stessa password su più di un servizio. Usarne una per Facebook, una per la posta elettronica, una per Twitter, una per Linkedin e così via. Cambiarle ogni tanto ma soprattutto quando escono dei leak che coinvolgono servizi dove ci siamo registrati.

Per rimanere aggiornati sui leak di password, ci si può iscrivere al servizio Notify Me di HaveIBeenPwned che ci permetterà di ricevere gratuitamente una mail non appena usciranno degli elenchi di password dove è presente anche il nostro indirizzo di posta elettronica.

In secondo luogo, impostare sempre i servizi dove siamo registrati con la protezione di sicurezza chiamata “autenticazione a due fattori”, che fa sì che per accedere al nostro account da un nuovo PC sia necessario inserire non solo la password ma anche un codice che riceveremo sul nostro numero di telefono o visualizzeremo sul nostro smartphone.

In ultimo, per quanto possa sembrare una leggenda metropolitana, male non fa coprire la webcam quando non la si usa: non tutti i notebook o PC hanno il led che ci segnala l’attivazione della webcam e sembra che comunque anche quello sia ingannabile.

Per chi ha Mac OS, un buon software che previene l’attivazione involontaria di audio o video è OverSight, sviluppato proprio per avvisare l’utilizzatore quando qualche processo – all’insaputa di tutti – sta attivando il microfono o la registrazione della video proveniente dalla webcam.

Questo articolo è disponibile anche in: Inglese

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.