Cerca nel blog

2018/07/13

Quando il ricattatore dice di sapere la tua password

Ultimo aggiornamento: 2018/10/29 22:30.

Se ricevete un messaggio di un sedicente hacker che vi dice di conoscere la vostra password e ve lo dimostra mandandovela, non cascateci: è un bluff e fa parte di una nuova tecnica per raggirare gli utenti e convincerli a pagare un riscatto.

Il ricercatore di sicurezza Brian Krebs segnala infatti che è in circolazione una mail che inizia dicendo (in inglese) “So che questa è la tua password” e poi mostra una password che spesso è effettivamente una di quelle usate (attualmente o in passato) da chi riceve la mail.

Il messaggio continua dicendo che il mittente è un hacker che ha infettato il computer della vittima durante una visita a un sito pornografico, installando di nascosto un programma che ha acceso la webcam e ha registrato un video della vittima mentre guardava il sito in questione e ha scaricato un elenco degli amici e colleghi della vittima dai suoi account di mail e su Facebook.

Il sedicente hacker dice inoltre che se la vittima non paga un riscatto in bitcoin di varie migliaia di dollari, manderà il video a tutti i contatti. I dettagli tecnici che fornisce sono credibili e fanno paura: parlano di Remote Desktop e di keylogger. Il riscatto, dice il truffatore, va pagato entro 24 ore.


Che cosa fare se l’avete ricevuta


  1. Se non usate più la password citata nel messaggio, o non l’avete mai usata, non correte nessun pericolo per questa tentata truffa. Cestinatela.
  2. Se usate ancora la password citata, cambiatela subito in tutti i servizi nei quali la usate.
  3. In ogni caso, non rispondete al messaggio: fareste solo il gioco del truffatore, che non ce l’ha specificamente con voi ma sta andando a casaccio, mandando la stessa mail a migliaia di persone.
  4. Non pagate: se pagate, i truffatori capiranno che avete qualcosa da nascondere e vi chiederanno altri soldi.
  5. Se la mail proviene (apparentemente) dal vostro stesso indirizzo di mail, non vuol dire che vi hanno violato la casella di mail. È semplicemente un trucchetto dei truffatori: infatti è facilissimo falsificare l’indirizzo del mittente di una mail.
  6. Se volete cambiare le vostre password lo stesso, anche se il messaggio non conteneva una vostra password, fatelo pure: è uno scrupolo di prudenza in più che va benissimo.
  7. Potete prevenire questo genere di trappola usando password diverse per ogni sito, cambiandole periodicamente e tenendo coperta la vostra webcam, oltre che evitando di visitare siti potenzialmente imbarazzanti.


Il testo completo della mail di ricatto


Questo è un campione della mail ricattatoria, mandatomi da una vittima (ho omesso i dettagli personali):

Da: [OMISSIS]
Data: 14 luglio 2018 20:16:38 CEST
A: [OMISSIS]
Oggetto: Re: [nome utente - password]

I will directly come to the point. I do know [OMISSIS] is your password. Most importantly, I am aware about your secret and I have evidence of this. You don't know me personally and no one employed me to check out you.

It is just your bad luck that I came across your misadventures. Well, I actually installed a malware on the adult vids (sex sites) and you visited this site to experience fun (you know what I mean). When you were busy watching video clips, your web browser started out functioning as a Rdp (Remote control desktop) with a keylogger which provided me access to your display as well as cam. Right after that, my software gathered all of your contacts from your messenger, fb, and mailbox.

After that I gave in more time than I should have into your life and created a two view video. 1st part displays the recording you were watching and next part displays the video from your web camera (its you doing dirty things).

Frankly, I am ready to forget everything about you and let you get on with your daily life. And my goal is to present you two options which will accomplish that. The above option is with the idea to ignore this letter, or simply pay me $ 2900. Let us understand these 2 options in more detail.

Option 1 is to ignore this mail. You should know what will happen if you take this path. I will send out your video to all your contacts including close relatives, colleagues, and so on. It does not help you avoid the humiliation your household will need to face when friends learn your sordid details from me.

Other Option is to send me $ 2900. We’ll name it my “privacy fee”. Now let me tell you what happens if you choose this path. Your secret remains your secret. I will destroy the recording immediately. You keep your daily life like nothing ever happened.

At this point you must be thinking, “I will complain to the police”. Let me tell you, I've covered my steps to ensure this email can't be traced to me and it will not stay away from the evidence from destroying your life. I am not planning to steal all your savings. I just want to get paid for my efforts I put in investigating you. Let's hope you decide to produce all of this vanish entirely and pay me my confidentiality fee. You'll make the payment via Bitcoins (if you don't know how, type "how to buy bitcoins" in search engine)

Amount to be sent: $ 2900
Receiving Bitcoin Address: 1KBVnnJCPMDai81kMq2sUMFPKejAo7svE9
(It is cASe sensitive, so copy and paste it carefully)

Tell no one what you will be sending the bitcoin for or they possibly will not provide it to you. The task to obtain bitcoin can take a few days so do not procrastinate.

I've a special pixel in this e mail, and right now I know that you have read this email message. You have 2 days in order to make the payment. If I don't receive the BitCoin, I will definitely send your video recording to all your contacts including close relatives, colleagues, and so forth. You better come up with an excuse for friends and family before they find out. Nonetheless, if I do get paid, I will erase the video immediately. It's a non negotiable offer, so please don't waste my time & yours. Your time has started.

Lo schema è insomma abbastanza classico, ma c’è quel dettaglio dannatamente credibile e impressionante: come fa il truffatore a sapere la password della vittima? La spiegazione più probabile è che chi sta dietro questa estorsione si sia procurato uno dei tanti archivi di account rubati, contenenti il nome utente (che spesso è l’indirizzo di mail) e la relativa password, e poi li usi per un bluff, sapendo che la maggior parte degli utenti usa la stessa password dappertutto e non la cambia quasi mai o addirittura non ricorda la propria password.


2018/07/15 9:20


È domenica mattina e ho finito poco fa di aiutare una delle tante vittime di questa truffa. Era in lacrime dalla paura: la polizia non la può aiutare e, come capita spesso, aveva in effetti visitato un sito pornografico e non ricordava le proprie password, per cui il bluff dei truffatori le è sembrato molto credibile.

Chi è del mestiere liquida questi tentativi di truffa come banalità, ma non bisogna dimenticare che ci sono tanti utenti non esperti e che i truffatori prendono di mira proprio loro. Sono bastardi senza cuore.


2018/07/15 15:40


Su Twitter ho ricevuto vari commenti perplessi e increduli all’idea che visitare un sito pornografico al giorno d’oggi possa essere fonte di scandalo e imbarazzo al punto di portare una persona alle lacrime o in generale a pagare un riscatto di fronte a una minaccia come questa. Sottolineo che il bluff non minaccia semplicemente di rivelare agli amici, ai colleghi e ai familiari che la vittima ha visitato un sito pornografico, ma anche di indicare dettagliatamente il tipo di pornografia e soprattutto di mostrare una ripresa della vittima mentre ne fruisce.

Se vi sentite immuni, provate a immaginare come vi sentireste di fronte a uno che dice che vi ha ripreso mentre guardavate un video di pornografia estrema e intende mandarlo a vostra madre, al vostro partner e ai vostri colleghi sul posto di lavoro. Buona fortuna.

Nessun commento: