introduzione
Sono sempre di più i tentativi di truffa e di estorsione che girano online e, ahimè, sono in tanti a cascarci…o quantomeno ad essere profondamente preoccupati. Nell’immaginario comune sono lontani i tempi in cui, in una famosa scena, Totò vendeva la Fontana di Trevi ad un ignaro acquirente. Eppure quando si tratta dell’online siamo ancora troppo e facilmente impressionabili da ogni minimo tentativo di approccio.
RICATTO DEI 222 €
La nuova estorsione che in queste settimane sta girando (che anche io ho ricevuto) prende il nome di “ricatto dei 222 €” (dalla strana somma, duecentoventidue euro appunto, che il criminale tenta di estorcere).
Non è nulla di nuovo nel panorama estorsivo digitale. In un attimo si è passato dalla email “ho violato il tuo account” a quella “ho violato il tuo account e ti ho ripreso”. Non è proprio la medesima cosa (perché una cosa è violare un account altra cosa è violare la macchina del soggetto, dove di norma dalla violazione di un account non c’è automaticamente violazione della macchina e dove dalla violazione della macchina può esserci una violazione dell’account).
Qui è subito chiara una cosa: nell’oggetto dell’email estorsiva ci viene riferito che “Alto pericolo!Il tuo account è stato violato”. Circostanza confermata anche nel primo periodo “Come avrai notato, ti ho inviato un’email dal tuo account. Ciò significa che ho pieno accesso al tuo account”.
Il criminale insomma ci dice di aver violato l’account e non la macchina.
Ma ancora: “Ti sto guardando da alcuni mesi. Il fatto è che sei stato infettato da malware attraverso un sito per adulti che hai visitato.Se non hai familiarità con questo, ti spiegherò. Virus Trojan mi dà pieno accesso e controllo su un computer o altro dispositivo. Ciò significa che posso vedere tutto sullo schermo, accendere la videocamera e il microfono, ma non ne sai nulla.
Analizziamo con calma questa cosa e poniamoci delle domande: è possibile quanto riferisce il criminale? Si, certo. Il virus trojan che cita è realtà, esiste per davvero. Viene anche utilizzato dalla Polizia per fare le intercettazioni su incarico della Procura della Repubblica e ha dimostrato una grande potenza (tralascio di proposito le considerazioni sugli usi illeciti di questi strumenti). Quindi si, un virus del genere potrebbe fare ciò che dice, compreso il potere di far accedere alla videocamera, al microfono e alla rubrica del dispositivo infettato da parte del soggetto che manovra il virus. Insomma, nulla di più e nulla di meno delle autorizzazioni che noi stessi concediamo volontariamente e giornalmente sul nostro smartphone alle app per consentirci di giocare all’ultimo gioco alla moda.
Ma continuiamo col ricatto dei 222 €: “Ho fatto un video che mostra come ti accontenti nella metà sinistra dello schermo, e nella metà destra vedi il video che hai guardato. Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e contatti sui social network. Posso anche postare l’accesso a tutta la corrispondenza e ai messaggi di posta elettronica che usi.”
Notiamo subito la forma lessicale: è abbastanza ingarbugliato no? Questo è un elemento costante di questo tipo di email. E non perché i criminali sono stranieri e si esprimono in un italiano dubbio, il che può anche essere. Ma ritengo che il ragionamento sia più sottile: si tratta di un modo per selezionare le vittime. In che senso? Semplice, un testo sgangherato del genere che colpisce, colpisce il più debole, quello che non nota le sfumature, che non si fa domande…insomma la vittima ideale!
Il messaggio fa riferimento poi ad un fatto (l’accontentarsi”) che fa capire tutta la portata sociale dell’intero intento criminale. Se non fai come dico io ti screditerò, ti denigrerò, ti sputt***** non in generale, ma davanti ai tuoi cari, ai tuoi amici, ai tuoi colleghi di lavoro e a tutti i contatti che per te valgono…altrimenti non li avevi salvati.
E veniamo finalmente al dunque : “se vuoi impedirlo, trasferisci l’importo di 222€ al mio indirizzo bitcoin (se non sai come fare, scrivi a Google: “Compra Bitcoin”). Il mio indirizzo bitcoin (BTC Wallet) è: 17YKd1iJBxu6**********”.
Qui incontriamo finalmente la richiesta estorsiva corredata da una convinzione piuttosto comune: che il bitcoin sia anonimo e non rintracciabile. Falso! (Vi invito a fare delle ricerche sul tema e scoprirete che c’è differenza tra anonimato e pseudo-anonimato).
Ma in ogni modo, analizziamo il nostro caso. Volendo semplificare diciamo che quell’insieme di caratteri che mi sono stati inviati identificano un conto. Una sorta di IBAN per i conti correnti. Solo che le movimentazioni legate ad un conto bitcoin sono in chiaro, cioè possono essere viste da chiunque.
analisi delle transazioni bitcoin
Ho controllato il codice conto che il criminale mi ha inviato e stranamente non risulta vuoto: allo stato in cui scrivo è stato oggetto di circa 70 movimentazioni (es. come bonifici inviati e ricevuti) per un totale di bitcoin ricevuti pari ad Euro 14.838,30 (al tasso di cambio in cui scrivo).
La cosa strana che ha catturato la mia attenzione è che la quasi totalità delle transazioni sia in ingresso (quindi il conto ha ricevuto pagamenti) e sono tutti piccoli pagamenti nell’arco della somma di 222 €. Questo potrebbe far certamente presumere che parecchie estorsioni sono andate a buon fine. Ne ho contate circa 60.
Quindi potremmo essere di fronte a circa 60 casi di pagamento dell’estorsione. Tutte a decorrere dal 14 gennaio 2019. Insomma circa 15.000 euro raccolti in 10 giorni. Non poco!
Suggerimenti
In conclusione non posso che lasciarvi alcuni piccoli e semplici consigli su come comportarsi (non solo quando ci troviamo di fronte al ricatto dei 222 €:
- mantenere la calma: il criminale quasi certamente non dispone, in realtà, di alcun filmato che ci ritrae in atteggiamenti intimi né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di nostri amici o parenti;
- non pagare assolutamente alcun riscatto: l’esperienza maturata con riguardo a precedenti fattispecie criminose (come sextortion e ransomware) dimostra che, persino quando il criminale dispone effettivamente di nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, volte ad ottenere ulteriore denaro (proprio come nel mondo offline);
- proteggere adeguatamente la nostra email (ed in generale i nostri account virtuali). Sul punto di invito a rispettare le raccomandazioni basilari sulla sicurezza informatica sviluppate nel corso degli anni da vari soggetti (potete usare tranquillamente quelle ministeriali dedicate alla PA o quelle tipo standard ISO/IEC 27001, ovviamente calate e tarate per l’uso personale);
- cambiare, se non si è già provveduto a farlo, tutte le password, impostando password complesse (almeno 10 caratteri contenti almeno un carattere minuscolo, uno maiuscolo, un numero e un carattere speciale);
- non utilizzare mai la stessa password per più profili;
- abilitare, ove possibile, meccanismi di autenticazione avanzati, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare o da un generatore di codici usa e getta (denominata 2FA – Autenticazione a 2 fattori);
- è buona norma non lasciare mai i nostri dispositivi incustoditi e non protetti (abilitando ad esempio lo sblocco con password o con fattore biometrico sui dispositivi mobili);
- guardarsi dal cliccare su link o allegati di posta elettronica o SMS sospetti (ultimamente girano anche sulle chat nei social);
- aggiornare sempre il sistema operativo dei nostri dispositivi, ed installare e tenere aggiornati adeguati sistemi antivirus.
Siate sempre in allerta!
Grazie