La nuova frontiera delle truffe di sextortion: includere immagini dell'abitazione della vittima
I raggiri basati su millantato materiale compromettente della vittima si arricchiscono di un dettaglio sinistro: immagini della sua abitazione per farle credere di essere controllata e presa di mira
di Andrea Bai pubblicata il 04 Settembre 2024, alle 08:05 nel canale SicurezzaIl popolare blog sulla sicurezza KrebsOnSecurity, gestito dal ricercatore Brian Krebs, segnala una nuova e sinistra tendenza che si sta verificando, al momento sembra solo negli USA, con le truffe di sextortion. Nelle mail in cui la vittima viene raggirata e indotta a pagare un riscatto per evitare la diffusione di fantomatici video o foto ritraenti situazioni equivoche vengono incluse anche immagini dei dintorni della sua abitazione, che sembrano essere tratti da servizi online come Street View di Google Maps.
Prima di generare confusione, però, un piccolo passo indietro: le truffe di sextortion sono tentativi di raggiro in cui alla vittima viene fatto credere di essere stata ripresa dalla webcam del computer mentre impegnata in atti di autoerotismo durante la frequentazione di siti vietati ai minori. E' una truffa che viene perpetrata tipicamente tramite e-mail: l'aggressore millanta di aver installato un malware e preso controllo del sistema della vittima, include nella mail alcuni dettagli per dare credbilità al messaggio (spesso una password dell'utente, di norma recuperata da un leak di qualche grande incidente di sicurezza), e chiede una somma in denaro per evitare la diffusione di immagini o video compromettenti.
Nella stragrande maggioranza dei casi è un tentativo di estorsione basato sul nulla (l'aggressore non ha alcun materiale compromettente per le mani), che cerca solo di spaventare la vittima e indurla a pagare, in preda al panico. Nella nuova campagna descritta da Brian Krebs si va però delineando una strategia ancora più infida: nella mail vengono incluse immagini dei dintorni dell'abitazione della vittima, con un messaggio minaccioso: "Visitare [indirizzo del destinatario] è un modo più comodo per contattare se non si agisce? Bella posizione, tra l'altro". Anche in questo caso lo scopo è quello di far credere alla vittima di essere tenuto attivamente sotto controllo, quando in realtà l'immagine è ottenuta come dicevamo da servizi online come Street View.
Messaggio di sextortion - Fonte: KrebsOnSecurity
Il messaggio impone un ultimatum di 24 ore per il pagamento, avvertendo che qualsiasi tentativo di condividere l'e-mail con altri porterà all'immediata diffusione del video o delle foto. Il resto del messaggio, solitamente allegato come PDF, contiene altri elementi tipici delle truffe di sextortion, come l'affermazione che il famigerato malware Pegasus è stato installato sul computer della vittima per monitorare tutte le sue attività.
Quello che non è chiaro, al momento, è il modo in cui queste immagini vengano recuperate. Anche qui, però, l'ipotesi è che l'aggressore sia in qualche modo a conoscenza dell'indirizzo della vittima, ottenuto anch'esso magari dalla diffusione sul dark web di grandi database di informazioni sensibili trafugati a grandi aziende. E' bene osservare che queste campagne sono difficilmente portate avanti in maniera manuale e mirata e che probabilmente dietro c'è un sistema automatizzato che confeziona queste email di estorsione andando ad incrociare email, indirizzi fisici e immagini di Street View.
Nel caso si ricevesse una email di questo tipo la prima cosa da fare è evitare di farsi prendere dal panico. Come dicevamo nella stragrande maggioranza dei casi il tentativo di estorsione è basato sul nulla, e mira a spaventare la vittima per indurla a pagare. Non si può tuttavia escludere che in alcuni casi il tentativo di estorsione poggi su qualcosa di più concreto: in ogni caso il pagamento di un riscatto, come anche nel caso di ransomware, non è mai una buona idea e la strada maestra è denunciare l'accaduto alle autorità competenti.
Come misure di prevenzione, è consigliabile coprire la webcam con un apposito accessorio o anche solo con un pezzo di nastro adesivo, evitare di inviare immagini compromettenti di sé stessi a nessuno, a prescindere da chi sia o da chi affermi di essere, non aprire allegati inviati da sconosciuti e adottare un certo grado di cautela anche per quelli provenienti da persone che conosciamo. Inoltre è consigliabile prestare particolare attenzione alla nostra "impronta digitale", e cioè alle informazioni che, consapevolmente o meno, dissieminiamo sul web quando navighiamo.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".