Mi è arrivata una segnalazione di un tentativo di estorsione via Telegram piuttosto insolito. Circola su vari gruppi Telegram una minaccia: dei sedicenti “hacker” dicono alla persona presa di mira che deve fare a loro un pagamento via Internet (su PayPal o Streamlabs), altrimenti i dati della vittima e dei suoi familiari, compresi quelli delle carte di credito, verranno diffusi su Internet.

Chi fa la minaccia scrive in buon italiano, cosa abbastanza insolita per questo tipo di estorsione, e non porta alcuna prova di quello che dice. È comunque sufficiente a spaventare parecchie vittime, soprattutto fra gli utenti più giovani e meno esperti di Internet, che credono di essere stati “hackerati”.

Niente panico: è tutta una finta. I presunti hacker in realtà non hanno in mano nulla. Cosa più importante, secondo le informazioni raccolte fin qui non si tratta di criminali informatici professionisti in cerca di persone emotivamente vulnerabili, ma di un gruppo di ragazzini che diffonde queste minacce perché ritiene divertente spaventare la gente, senza rendersi conto dell’angoscia che causa.

Questi pseudohacker vengono regolarmente segnalati e bloccati nei vari gruppi, ma tendono a ricomparire con nuovi account. Il modo migliore per indurli a smettere è non cadere nella loro trappola. Non credete a tutto quello che vi dicono online. Vi dicono che hanno informazioni compromettenti su di voi e temete che dicano la verità? Chiedete di mostrarvele. Se non ne hanno, ridete loro in faccia e bloccateli.

A questi diversamente divertiti ricordo invece che quello che stanno facendo si chiama estorsione ed è reato anche se lo si fa per “divertirsi”. Ed è facile seguire le tracce per identificarvi. Crescete, gente.

Il gattino serve solo per compensare lo squallore di questa storia.

Ultimo aggiornamento: 2019/06/21 18:55. 

Ho già parlato in altre occasioni di pornoricatti: estorsioni basate sull’accusa inventata di detenere o guardare pornografia sui propri dispositivi.

Solitamente si tratta di bluff, ma da Minneapolis, negli Stati Uniti, arriva una variante sul tema particolarmente bizzarra.

Paul Hansmeier e il suo socio John Steele gestivano uno studio legale che si occupava di avviare cause legali contro chi diffondeva online film pornografici, coinvolgendo in particolare i provider Internet che consentivano questo smercio.

Lo studio legale ha svolto quest’attività per anni, almeno dal 2010, per conto delle case di produzione di questi film, e questo non è insolito. Ma le indagini hanno fatto emergere una situazione ben diversa da quella apparente: infatti i film venivano messi online proprio dallo studio legale in modo da avere il pretesto di fare causa ai provider.

Non è finita: alcuni dei film pornografici messi online venivano addirittura prodotti dallo stesso studio legale di Hansmeier e Steele.

Le richieste di risarcimento erano modeste, qualche migliaio di dollari ciascuna, per cui agli accusati conveniva pagare per chiudere la vertenza: una forma di ricatto piuttosto efficace, visto che con questo trucco i due soci dello studio legale avevano incassato circa sei milioni di dollari.

Ma la loro scorribanda informatico-legale è finita con il loro arresto nel 2016 e con una condanna a 14 anni di carcere per Paul Hansmeier. Steele, invece, si è dichiarato colpevole, ha raggiunto un accordo con il tribunale ed è in attesa di una condanna, probabilmente più mite perché ha collaborato con le autorità, come racconta Ars Technica.

Chicca finale: lo studio legale si chiamava Prenda Law. Chissà se i suoi fondatori sapevano cosa vuol dire in italiano quando hanno scelto questo nome.

Molte persone e aziende che hanno un sito Internet stanno ricevendo delle mail di ricatto che minacciano di bloccare per sempre i loro account e di seppellirli sotto migliaia di proteste e recensioni negative se non verrà pagata una cifra in Bitcoin (circa 2400 dollari).

Questo è un esempio della mail di ricatto, che minaccia anche di mandare centinaia di mail e pubblicità a nove milioni di indirizzi, scatenando la loro ira e rovinando la reputazione del sito:

Hey. Soon your hosting account and your domain [nome del dominio] will be blocked forever, and you will receive tens of thousands of negative feedback from angry people.

Here is a list of what you get if you don’t follow my requirements:
+ abuse spamhouse for aggressive web spam tens of thousands of negative
+ reviews about you and your website from angry people for aggressive
+ web and email spam lifetime blocking of your hosting account for
+ aggressive web and email spam lifetime blocking of your domain for
+ aggressive web and email spam Thousands of angry complaints from angry
+ people will come to your mail and messengers for sending you a lot of
+ spam complete destruction of your reputation and loss of clients
+ forever for a full recovery from the damage you need tens of thousands
+ of dollars

Do you want this?

If you do not want the above problems, then before June 1, 2019, you need to send me 0.3 BTC to my Bitcoin wallet: 19ckouUP2E22aJR5BPFdf7jP2oNXR3bezL

How do I do all this to get this result:
1. I will send 30 messages to 13 000 000 sites with contact forms with offensive messages with the address of your site, that is, in this situation, you and the spammer and insult people. And everyone will not care that it is not you.
2. I’ll send 300 messages to 9,000,000 email addresses and very intrusive advertisements for making money and offer a free iPhone with your website address [nome del dominio] and your contact details. And then send out abusive messages with the address of your site.
3. I will do aggressive spam on blogs, forums and other sites (in my database there are 35 978 370 sites and 315900 sites from which you will definitely get a huge amount of abuse) of your site [nome del dominio]. After such spam, the spamhouse will turn its attention on you and after several abuses your host will be forced to block your account for life. Your domain registrar will also block your domain permanently.

Niente panico: è semplicemente una variante delle estorsioni pigre già viste nei mesi scorsi, come quella che diceva di aver spiato la vittima mentre visitava siti pornografici e chiedeva soldi per non diffondere il video (inesistente).

Ricevere una mail come questa non significa che il vostro sito è stato violato. Cestinate pure.

La cosa informaticamente interessante è che questo tipo di abuso di Internet tramite criptovalute ha portato alla creazione di un archivio pubblico, il Bitcoin Abuse Database, nel quale vengono segnalati i wallet legati a tentativi di truffa o estorsione. Questo ha il vantaggio di creare un monitoraggio e una traccia utilizzabili per risalire a chi si nasconde dietro l’anonimato di un portafogli digitale di questo tipo.

Come spiega il BAD, “il Bitcoin è anonimo se viene usato perfettamente. Per fortuna nessuno è perfetto. Anche gli hacker commettono errori. Basta un solo errore per collegare dei bitcoin rubati alla vera identità di un hacker”. Il monitoraggio di questo caso, relativo al wallet citato nella mail di ricatto, è qui.

Finora, fra l’altro, secondo Blockchain.info il wallet citato ha incassato esattamente zero.

Ha fatto molto rumore il tentativo di ricatto digitale ai danni dei Radiohead: sono state trafugate circa 18 ore di registrazioni tratte dalle sessioni che portarono allo storico album OK Computer della band, uscito nel 1997, e sarebbero stati chiesti circa 150.000 dollari per non disseminare questo materiale.

Jonny Greenwood, uno dei membri della band, ha tweetato che si è trattato di un “hackeraggio”, usando proprio la frase “We got hacked last week”, ma in realtà l’hacking non c’entra:  Greenwood stesso ha chiarito subito dopo, nello stesso messaggio, che si è trattato di un furto tradizionale. “Qualcuno ha rubato l’archivio di minidisk [sic] di Thom [Yorke] risalente ai tempi di OK Computer e pare che abbia chiesto 150.000 dollari, minacciando di disseminarlo” (“someone stole Thom’s minidisk archive from around the time of Ok Computer and reportedly demanded $150,000 on threat of releasing it”).

https://t.co/iTcF2VjYRdhttps://t.co/6Pao0hThbU pic.twitter.com/OepiMlEL73

— Jonny Greenwood (@JnnyG) June 11, 2019

Anche Thom Yorke ha parlato di “hackeraggio” (“we’ve been hacked”) nel suo annuncio della geniale risposta della band alla situazione: invece di cedere al ricatto, i Radiohead hanno stroncato sul nascere le possibilità di guadagno del ladro. Hanno infatti messo in vendita online su Bandcamp a prezzo simbolico (18 sterline, circa 23 franchi o 21 euro) una copia dei file audio presenti sui diciotto Minidisc rubati, devolvendo i ricavi al movimento ambientalista internazionale Extinction Rebellion. L’offerta è valida solo per un periodo limitato (18 giorni).

Un gruppo di fan, inoltre, ha pubblicato su Google Docs una ricostruzione degli eventi secondo la quale non ci sarebbe stata alcuna richiesta di riscatto. In realtà il ladro, o un suo complice, avrebbero messo in vendita i file rubati, chiedendo 500 dollari per ogni traccia e 50 dollari per ogni versione live, per cui il costo stimato per acquistare il contenuto di tutti e 18 i Minidisc si sarebbe aggirato sui 150.000 dollari.

In altre parole, l’hacking vero e proprio non c’entra, contrariamente a quanto riportano molti testate e persino la stessa band; ma l’informatica c’entra eccome, perché la reazione rapidissima dei Radiohead al furto delle registrazioni è stata possibile soltanto grazie a Internet.


Fonti aggiuntive: Graham Cluley, The Verge, Naked Security, NME.

Questo è il testo (leggermente ampliato) del mio podcast La Rete in tre minuti per Radio Inblu di questa settimana, che potete ascoltare qui.

Vi ricordate la recente mail di ricatto, mandata a tantissime persone, che diceva che un criminale informatico era entrato nel vostro computer mentre guardavate siti per adulti, vi aveva videoregistrato attraverso la telecamerina del computer, e voleva denaro per non diffondere il video?

Era un bluff totale, perché i criminali che la mandavano non avevano registrato nulla e contavano semplicemente sulle abitudini e sui sensi di colpa delle persone, ma ha funzionato lo stesso: un numero non trascurabile di utenti ha pagato, secondo quanto risulta dal monitoraggio dei conti Bitcoin sui quali finivano i soldi incassati dai truffatori.

Ora qualcuno ha avuto la pensata di usare lo stesso modello di estorsione basato sul bluff ma di cambiare la ragione del ricatto: nei giorni scorsi scuole, aziende, ospedali e tribunali negli Stati Uniti, in Australia, in Canada e in Nuova Zelanda hanno ricevuto una mail che avvisava che all’interno dell’edificio era stata nascosta una bomba che sarebbe esplosa se non fosse stato pagato entro sera un riscatto di circa 20.000 euro.

Questo è un campione della mail, che circola in varie versioni:

There is the bomb (tronitrotoluene) in the building where your business is located. My recruited person constructed an explosive device under my direction. It has small dimensions and it is hidden very well, it is impossible to damage the supporting building structure by my bomb, but there will be many wounded people if it detonates.

My man is controlling the situation around the building. If any unnatural behavior, panic or emergency is noticed he will power the device.

I want to suggest you a deal. You send me $20’000 in Bitcoin and the bomb will not detonate, but do not try to fool me -I warrant you that I have to call off my man solely after 3 confirmations in blockchain network.

My payment details (Bitcoin address)- 149oyt2DL52Jgykhg5vh7Jm10pdpfuyVqd

You must pay me by the end of the workday. If the working day is over and people start leaving the building explosive will explode.

This is just a business, if I do not see the money and the bomb detonates, next time other commercial enterprises will send me a lot more, because this is not a single incident. I wont enter this email. I check my Bitcoin wallet every 40 min and after seeing the payment I will order my mercenary to leave your district. If an explosion occurred and the authorities see this letter:
we arent a terrorist society and do not assume responsibility for explosions in other places.

Stavolta, però, le cose sono andate ben diversamente: a quanto risulta finora, nessuno ha pagato e tutti gli enti coinvolti hanno avvisato le autorità, che poi hanno evacuato e setacciato gli edifici, senza trovare nulla. L’ultimatum è scaduto e non è successo nulla, a conferma del fatto che si trattava di una finta.

Il consiglio delle forze dell’ordine, per chi dovesse ricevere questa mail di estorsione, è non rispondere, non tentare di contattare il mittente, non pagare e invece contattare appunto la polizia, senza cancellare la mail di ricatto, perché al suo interno ci sono dati tecnici che consentiranno probabilmente agli investigatori di risalire all’incosciente autore di questa estorsione internazionale.

Incosciente perché se le autorità tendono, per mancanza di risorse, a dover chiudere un occhio su estorsioni private, come quella della mail riguardante le visite ai siti a luci rosse, di certo non lo fanno per chi si rende colpevole di falsi allarmi bomba che sconvolgono l’ordine pubblico. Questo nuovo aspirante ricattatore avrà ora alle calcagna le polizie di mezzo mondo.

Lo sa bene George Duke-Cohan, un diciannovenne britannico che è stato condannato a tre anni di carcere per aver inviato allarmi bomba via mail a centinaia di scuole nel Regno Unito e negli Stati Uniti e persino a un aereo di linea in volo. Pensava di far parte di un potentissimo gruppo di hacker sovversivi, che si faceva chiamare la Squadra di Apophis, e invece è stato identificato e arrestato nel giro di pochi giorni.

Questo diciannovenne faceva queste cose perché desiderava ossessivamente l’attenzione dei suoi seguaci nei social network, senza pensare agli effetti dei suoi gesti. Dalle nostre parti, senza arrivare alle estorsioni e agli allarmi bomba di massa, altri irresponsabili mandano via Internet insulti, minacce e provocazioni per ottenere il plauso dei propri follower, come si chiamano ora i seguaci. Ma è opportuno ricordare che anche su Internet le azioni hanno conseguenze. Forse sarebbe ora di insegnarlo. E di impararlo una volta per tutte.

Da due lettori, Elena e Giuseppe, mi arriva la segnalazione della versione italiana della mail-bluff che chiede soldi per non divulgare un video che sarebbe stato ripreso violando il computer della vittima mentre visitava siti pornografici. Gira ormai da mesi in altre lingue, e confermo che si tratta di un tentativo fatto alla cieca e che il fatto che il mittente apparente sia la casella di mail della vittima non è sintomo di una violazione della casella:

Oggetto: [omissis] e stato violato! Cambia la tua password immediatamente!

Ti saluto!

Ho brutte notizie per te.
22/06/2018 - in questo giorno ho hackerato il tuo sistema operativo e ottenuto l'accesso completo al tuo account [omissis]@sunrise.ch.

Come era:
Nel software del router attraverso il quale sei andato online, c'era una vulnerabilità.
Ho prima hackerato questo router e inserito il mio codice dannoso su di esso.
Quando sei entrato in Internet, il mio trojan è stato installato sul sistema operativo del tuo dispositivo.

Successivamente, ho scaricato tutti i dati del tuo disco (ho tutta la tua rubrica, la cronologia dei siti di visualizzazione, tutti i file, i numeri di telefono e gli indirizzi di tutti i tuoi contatti).

Volevo bloccare il tuo dispositivo e chiedere un po 'di soldi per sbloccarlo.
Ma ho visto i siti che visiti regolarmente e sono rimasto scioccato dalle tue risorse preferite.
Sto parlando di siti per adulti.

Voglio dire: sei un grande pervertito. Hai una fantasia sfrenata!

Dopo ciò mi è venuta un'idea.
Ho fatto uno screenshot del sito web intimo in cui ti diverti (sai cosa intendo, giusto?).
Dopo di che ho scattato foto dei tuoi divertimenti (usando la fotocamera del tuo dispositivo). Si è rivelato magnificamente!

Sono fermamente convinto che non ti piacerebbe mostrare queste immagini ai tuoi parenti, amici o colleghi.
Penso che 251€ sia una piccola somma per il mio silenzio.
Inoltre, ho passato molto tempo su di te!

Accetto solo soldi in Bitcoin!
Il mio portafoglio BTC: 1NWybUp8ZJXKyDg2DR5MaePspforMPYbM3

Non sai come inviare Bitcoin?
In qualsiasi motore di ricerca scrivi "come inviare denaro al portafoglio BTC".
È più facile che inviare denaro a una carta di credito!

Per il pagamento hai poco più di due giorni (esattamente 50 ore).
Non preoccuparti, il timer inizierà nel momento in cui apri questa lettera. Sì, sì .. è già iniziato!

Dopo il pagamento, il mio virus e le foto sporche con te si autodistruggono automaticamente.
Si prega di notare, se non ricevo l'importo specificato da te, il tuo dispositivo verrà bloccato e tutti i tuoi contatti riceveranno una foto con le tue "gioie".

Voglio che tu sia prudente.
- Non cercare di trovare e distruggere il mio virus! (Tutti i tuoi dati sono già stati caricati su un server remoto)
- Non provare a contattarmi (non è fattibile, ti ho inviato una email dal tuo account)
- Vari servizi di sicurezza non ti aiuteranno; la formattazione di un disco o la distruzione di un dispositivo non saranno d'aiuto, dal momento che i tuoi dati sono già su un server remoto.

P.S. Ti garantisco che non ti disturberò di nuovo dopo il pagamento, dal momento che non sei l'unica vittima di queste circostanze.
Questo è un codice d'onore degli hacker.

D'ora in poi, ti consiglio di usare buoni antivirus e aggiornarli regolarmente (più volte al giorno)!

Non essere arrabbiato con me, ognuno ha la propria occupazione.
Addio.

Rispetto ai primi tempi, quando la richiesta di denaro ammontava a due o tremila euro in Bitcoin, i prezzi sono in discesa rapidissima. Ormai l’idea è stata copiata da molti aspiranti truffatori. Continuate pure a cestinarla.

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.


Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Forse è solo un caso, ma nei giorni scorsi mi è arrivata una nuova raffica di richieste di aiuto per ricatti riguardanti video intimi, per cui è meglio riparlarne pubblicamente.

A differenza dell’allarme fasullo causato dalla diffusissima mail che fingeva di aver registrato la vittima attraverso la sua webcam durante un momento intimo di contemplazione di video online, nei casi che mi sono stati segnalati il video intimo esiste davvero e i ricattatori minacciano di pubblicarlo se la vittima non paga. È la cosiddetta sextortion, descritta in dettaglio per esempio in questo documento della Polizia Federale.

Lo schema della truffa è quello classico: la vittima incontra online una persona attraente e disponibile che propone una sessione intima reciproca in video con Skype o simili. La persona si rivela poi essere un ricattatore che registra l’esibizione della vittima e chiede denaro per non diffondere la registrazione agli amici della vittima stessa. Il criminale sa chi sono questi amici perché ne ha trovato gli indirizzi nell’elenco pubblico su Facebook, per esempio.

Ovviamente bisognerebbe pensarci due volte prima di esibirsi così intimamente davanti a sconosciuti, ma lasciamo stare. Il problema che mi è capitato in questi giorni è che il guaio era ormai fatto.

In casi come questi ci sono fondamentalmente due cose da fare. La prima è assolutamente non pagare: chi paga non fa altro che confermare ai truffatori che è vulnerabile e quindi si espone al rischio che gli vengano chiesti altri soldi. Non ci si può fidare delle loro promesse di cancellare il video o non pubblicarlo: sono criminali, mentire è il loro mestiere.

La seconda è cercare di bloccare il video. Solitamente i ricattatori forniscono alla vittima un link a una copia della registrazione intima che è stata caricata da loro su Youtube senza renderla pubblica (può vederla solo chi ne conosce il link).

Se vi capita una situazione di questo genere, quando ricevete il link al video su Youtube contattate subito Youtube per chiedere di rimuoverlo e bloccare l’account dei ricattatori.

La procedura è questa:

1. Da computer, andate al video in questione e cliccate sui tre puntini in basso a destra sotto il video; da smartphone, nell’app di Youtube, fate partire il video, toccate lo schermo e poi cliccate sui tre puntini che compaiono.
2. Scegliete Segnala e poi la voce Contenuti di natura sessuale e poi l’opzione Contenuti che coinvolgono minorenni (se siete minorenni) oppure Altri contenuti di natura sessuale). Nella casella che compare, scrivete una breve descrizione, preferibilmente in inglese (qualcosa del tipo This is me in the video. I have been recorded against my will. This is sextortion). Assicuratevi di citare la parola sextortion. Infine cliccate su Segnala.
3. Inoltrate a Youtube un reclamo per violazione della privacy compilando questa pagina.
4. Usate anche questa pagina di richiesta di rimozione, usando la voce Privacy.
5. Aspettate con pazienza: il vostro video verrà esaminato e quasi sicuramente rimosso, dato che viola gravemente le norme di Youtube, come spiegato qui: “YouTube ha una politica di tolleranza zero nei confronti delle estorsioni e/o dei ricatti. Se qualcuno ha registrato un video a sfondo sessuale che ti vede protagonista e ne ha diffuso il link, segnala immediatamente i contenuti in questione affinché vengano rimossi e contatta le forze dell'ordine.”
6. Contattate le forze dell’ordine, se potete, fornendo in particolare il link al video, in modo che anche loro possano segnalarlo autorevolmente.

Potete tenere d’occhio lo stato e la cronologia delle vostre segnalazioni in questa pagina di Youtube, visibile solo a voi e spiegata in dettaglio qui. Maggiori informazioni sono nella pagina Indicazioni sulla privacy di YouTube.

Funziona? Non posso dare garanzie assolute, ma finora nei casi che ho gestito il video è stato sempre rimosso prontamente e la vittima non ha avuto altre conseguenze.

Credit: whoismargot.

Continuano ad arrivarmi segnalazioni di persone che hanno ricevuto una mail che chiede soldi per non diffondere un video intimo, dicendo che si tratta di hacker che hanno compromesso l’account e hanno registrato attraverso la telecamera del computer mentre la vittima guardava video pornografici.

La truffa è diffusa in molti paesi e in varie lingue, ma segue sempre lo stesso schema, segnalato anche da @GovCERT.ch / MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione):

Momentan versenden Internet-Kriminelle E-Mails mit dem Ziel, Bürgerinnen und Bürger zu einer Schweigegeld-Zahlung zu nötigen ("Sextortion"). Die E-Mails sind gefälscht und in schlechtem Deutsch verfasst. Trotzdem scheinen viele Empfänger verunsichert zu sein. Unser Tipp: Löschen! pic.twitter.com/6WnphsF4ja

— GovCERT.ch (@GovCERT_CH) 17 settembre 2018

I truffatori dicono di far parte di un gruppo internazionale di pirati informatici e di aver installato un virus sul vostro dispositivo per spiarvi durante le visite a siti pornografici. Dicono anche di avervi registrato mentre li visitavate e chiedono 300 dollari, da mandare tramite Bitcoin, per non pubblicare la registrazione.

Il messaggio ha preoccupato anche molti docenti in Svizzera perché arriva sulle caselle di posta di lavoro, sul dominio Educanet2, e spesso sembra provenire dalla casella stessa (il mittente è uguale al destinatario).

Ma non è vero niente. È una truffa basata su un bluff. Il fatto che arrivi sulla mail di lavoro non significa affatto che la casella è stata violata, come spiega bene, anche in italiano, MELANI qui. Educanet ha un avviso apposito sulla propria pagina iniziale. Non pagate e non cascateci. Cestinate e basta. Se volete tutti i dettagli, e se vi state chiedendo come sia possibile che la gente abbocchi a un bluff del genere, ne ho scritto qui.

Ultimo aggiornamento: 2018/09/19 10:10.

Mi stanno arrivando moltissime segnalazioni di un messaggio in italiano che annuncia a chi lo riceve che è stato “installato un trojan di accesso remoto” sul suo computer e chiede soldi per non pubblicare le informazioni intime che sarebbero state così trovate. Non è vero; non cascateci, non rispondete e soprattutto NON PAGATE.

Il testo del messaggio dice in sintesi: “Ho scaricato tutte le informazioni riservate dal tuo sistema... i video dove tu masturbi” (sì, forma transitiva, segno che è una traduzione, forse dall’inglese, nel quale il verbo to masturbate è sia transitivo sia riflessivo). “Quando hai cliccato su Play di un video porno, in quel momento il tuo dispositivo ha scaricato il mio trojan. Dopo l’installazione la tua camera frontale ti filma ogni volta che tu masturbi”.

Scatta poi il ricatto: “Se tu vuoi che io cancelli tutti i dati raccolti, devi trasferirmi $300 in BTC (criptovaluta). Questo è il mio portafoglio Bitcoin: [codice]... Altrimenti manderò i video con le tue birichinate a tutti i tuoi colleghi e amici!!!”

Il messaggio è generico e non contiene nessuna informazione personale: è un bluff, una finta per vedere se avete la coscienza sporca e ci cascate. Se lo ricevete, cestinatelo. Tutto qui.

I codici dei wallet che ho visto nei campioni che ho ricevuto sono i seguenti, con i rispettivi importi accumulati (aggiornati alle 23:40 del 18 settembre 2018):

1. 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck (19 transazioni, 0,727 BTC, 3906 euro)
2. 14dEvzyftZjrTjXaX5XXHo65C1rdsqCw1s (5 transazioni, 0,155 BTC, 832 euro)
3. 16yJ7MQWTFNjsSvAJJMkjPpnJbAsGLYhW7 (10 transazioni, 0,428 BTC, 2319 euro)
4. 16acVRG2RdMDSmdVuve1N1bYBFu8Rr3iii (6 transazioni, 0,237 BTC, 1284 euro)

Va detto che alcune di queste poche transazioni potrebbero essere state fatte dal truffatore stesso per rendersi più credibile.

Per monitorare questi wallet è sufficiente andare a Blockchain.com e immettere il codice del wallet nella casella di ricerca oppure digitare direttamente https://www.blockchain.com/btc/address/ seguito dal codice.

Riporto dai commenti una domanda molto frequente: se qualcuno è così informaticamente ingenuo da abboccare a una truffa di questo genere, come può avere le competenze informatiche non banali necessarie per procurarsi dei bitcoin e pagare il ricatto?

La risposta è che è talmente spaventato dall’idea di uno svergognamento di fronte al partner o agli amici che si rivolge a un esperto per fare il pagamento, e insiste a voler pagare anche quando l’esperto gli spiega che è una truffa, che non c’è nessun video e che pagare non serve a nulla. Ho seguito numerosi casi di questo genere che si sono svolti secondo questo schema.

2018/09/16 17:05

Questa è una versione in tedesco del messaggio truffaldino:

Titolo: Es geht um Ihre Sicherheit.

Testo: Hallo, lieber Benutzer von [omissis].

Wir haben eine RAT-Software auf Ihrem Gerät installiert.
Zu dieser Zeit ist Ihr E-Mail-Konto gehackt (siehe , jetzt habe ich den Zugriff auf Ihre Konten).
Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.

Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button "Play" auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.

Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $300 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 14dEvzyftZjrTjXaX5XXHo65C1rdsqCw1s
Sie haben 2 Tage nach dem Lesen dieses Briefes.

Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!

Und von nun an, seien Sie vorsichtiger!
Bitte besuchen Sie nur sichere Webseiten!
Tschüss!

2018/09/17 17:25

Un‘altra versione in tedesco del messaggio:

Titolo: Entfernen Sie diesen Brief nach dem Lesen!

Testo: Hallo!

Wie Sie sich schon vorstellen können, wurde Ihr Benutzerkonto ([omissis]) gehackt, da ich Ihnen diesen Brief von aggesandt habe. :(

Ich bin der Vertreter einer bedeutenden übernationalen Gruppe von Info-Piraten
Im Zeitraum vom 23.07.2018 bis zum 16.09.2018 wurden Sie mit dem von uns erstellten Virus auf der Webseite für Erwachsene die Sie besucht haben angesteckt.
Zu dieser Zeit haben wir Zugriff auf alle Ihre Korrespondenz, soziale Netzwerke und Messengerdienste.
Mehr als das, haben wir vollständige Speicherauszüge von diesen Daten.

Wir sind im Bilde aller Ihrer Geheimnisse, o, ja... Sie haben das ganze heimliche Leben.
Wir haben gesehen und aufgenommen, wie Sie sich auf die Porno-Seiten unterhalten hatten. Lieber Himmel, was für Geschmack und Leidenshaften haben Sie... :)

Aber das Interessanteste ist, dass wir Sie in regelmäßigen Zeitabständen auf der Web-Kamera Ihres Gerät aufgenommen haben. Die Webcam wurde mit dem synchronisiert, was Sie gerade sich angesehen haben!
Ich bin der Meinung, dass Sie nicht wollen, dass Ihre Kameraden und Verwandten alle Ihre Heimlichkeiten sehen, und bestimmt die Person, die Ihnen am nächsten ist.

Schicken Sie $300 zu unserer Kryptowährung Bitcoin Wallet: 16yJ7MQWTFNjsSvAJJMkjPpnJbAsGLYhW7
Ich garantiere, dass wir dann alle Ihre Geheimnisse entfernen werden!

Ab dem Zeitpunkt, in dem diese Nachricht gelesen ist, funktioniert der Timer!
Sie haben 48 Stunden, um diese Summe einzuzuahlen.

Sobald das Geld auf unserem Konto ist, werden Ihre Daten sofort vernichtet!
Wenn Geld nicht da ist, werden alle Ihre Korrespondenz und das von uns aufgenommene Video automatisch an alle Kontakte gesendet, die in der Zeit der Infektion in Ihrem System erreichbar waren!
Leider, Sie sollen über ihre Sicherheit denken!
Wir hoffen, dass diese Geschichte lehrt Ihnen, Ihre Geheimnisse korrekt zu bewahren.
Passen Sie auf sich auf!

2018/09/18 23:40

Una versione francese:

Bonjour!

Comme vous pouvez l'imaginer, votre compte [omissis] a été piraté, depuis que j'ai écrit ce message de sa part. :(

Je représente un groupe international de pirates informatiques bien connu.
Du 23.07.2018 au 15.09.2018, vous avez été infecté par un virus que nous avons créé via le site Web pour adultes que vous avez visité.
Pour le moment, nous avons accès à tous vos correspondance, réseaux sociaux et services de messagerie.
De plus, nous avons des décharges complètes de ces informations.

Nous sommes conscients de vos « petits et grands secrets », oui, oui... Vous avez toute une vie secrète.
Nous avons vu et enregistré comment vous vous êtes amusé sur des sites Web pour adultes. Dieu, quel goût et quelle souffrance avez-vous ... :)

Mais la chose la plus intéressante est que nous vous avons inclus régulièrement sur la webcam de votre appareil. La webcam a été synchronisée avec ce que vous venez de voir!
Je pense que vous ne voulez pas que vos amis et votre famille voient tous vos secrets et, bien sûr, la personne la plus proche de vous.

Transférez $300 vers notre monnaie crypto Bitcoin Wallet: 16acVRG2RdMDSmdVuve1N1bYBFu8Rr3iii
Je vous garantis que nous effacerons alors tous vos secrets!

A partir du moment où cette lettre est lue, la minuterie fonctionne!
Vous avez 48 heures pour payer le montant susmentionné.

Une fois que l'argent est dans notre compte, vos données seront immédiatement détruites!
Si l'argent n'arrive pas, toute votre correspondance et vidéo que nous recevons seront automatiquement envoyées à tous les contacts disponibles sur votre appareil au moment de l'infection!

Malheureusement, vous devez penser à votre sécurité!
Nous espérons que cette histoire vous apprendra à garder vos secrets corrects!
Prenez soin de vous!

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2018/07/26 21:50.

Dalle segnalazioni che mi stanno arrivando, sta ancora circolando vivacemente la truffa della mail di un sedicente hacker che dice (in inglese) di avere la vostra password e di avervi ripreso in video mentre guardavate un sito pornografico.

La mail inizia di solito con “I will directly come to the point. I do know [password] is your password. Most importantly, I am aware about your secret and I have evidence of this.”

Alcune testate affermano che si tratterebbe di attacchi mirati “a imprenditori e figure istituzionali” (Il Fatto Quotidiano; Corriere della Sera), ma è sbagliato: la mail sta arrivando a persone di tutti i generi e non è affatto un fenomeno limitato all’Italia, come spiega Ticinonews.ch citando il caso di una giovane ticinese che non è né imprenditrice né figura istituzionale.

È una truffa. Non cascateci. Non c’è nessun video ricattatorio, ma solo un bluff. Se volete saperne di più e decidere cosa fare senza panico, leggete il mio articolo completo.

Il 26 luglio sono state diffuse le raccomandazioni della Polizia Cantonale svizzera, riprese dal Corriere del Ticino e da Ticinonews.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2018/10/29 22:30.

Se ricevete un messaggio di un sedicente hacker che vi dice di conoscere la vostra password e ve lo dimostra mandandovela, non cascateci: è un bluff e fa parte di una nuova tecnica per raggirare gli utenti e convincerli a pagare un riscatto.

Il ricercatore di sicurezza Brian Krebs segnala infatti che è in circolazione una mail che inizia dicendo (in inglese) “So che questa è la tua password” e poi mostra una password che spesso è effettivamente una di quelle usate (attualmente o in passato) da chi riceve la mail.

Il messaggio continua dicendo che il mittente è un hacker che ha infettato il computer della vittima durante una visita a un sito pornografico, installando di nascosto un programma che ha acceso la webcam e ha registrato un video della vittima mentre guardava il sito in questione e ha scaricato un elenco degli amici e colleghi della vittima dai suoi account di mail e su Facebook.

Il sedicente hacker dice inoltre che se la vittima non paga un riscatto in bitcoin di varie migliaia di dollari, manderà il video a tutti i contatti. I dettagli tecnici che fornisce sono credibili e fanno paura: parlano di Remote Desktop e di keylogger. Il riscatto, dice il truffatore, va pagato entro 24 ore.

Che cosa fare se l’avete ricevuta

1. Se non usate più la password citata nel messaggio, o non l’avete mai usata, non correte nessun pericolo per questa tentata truffa. Cestinatela.
2. Se usate ancora la password citata, cambiatela subito in tutti i servizi nei quali la usate.
3. In ogni caso, non rispondete al messaggio: fareste solo il gioco del truffatore, che non ce l’ha specificamente con voi ma sta andando a casaccio, mandando la stessa mail a migliaia di persone.
4. Non pagate: se pagate, i truffatori capiranno che avete qualcosa da nascondere e vi chiederanno altri soldi.
5. Se la mail proviene (apparentemente) dal vostro stesso indirizzo di mail, non vuol dire che vi hanno violato la casella di mail. È semplicemente un trucchetto dei truffatori: infatti è facilissimo falsificare l’indirizzo del mittente di una mail.
6. Se volete cambiare le vostre password lo stesso, anche se il messaggio non conteneva una vostra password, fatelo pure: è uno scrupolo di prudenza in più che va benissimo.
7. Potete prevenire questo genere di trappola usando password diverse per ogni sito, cambiandole periodicamente e tenendo coperta la vostra webcam, oltre che evitando di visitare siti potenzialmente imbarazzanti.

Il testo completo della mail di ricatto

Questo è un campione della mail ricattatoria, mandatomi da una vittima (ho omesso i dettagli personali):

Da: [OMISSIS]
Data: 14 luglio 2018 20:16:38 CEST
A: [OMISSIS]
Oggetto: Re: [nome utente - password]

I will directly come to the point. I do know [OMISSIS] is your password. Most importantly, I am aware about your secret and I have evidence of this. You don't know me personally and no one employed me to check out you.

It is just your bad luck that I came across your misadventures. Well, I actually installed a malware on the adult vids (sex sites) and you visited this site to experience fun (you know what I mean). When you were busy watching video clips, your web browser started out functioning as a Rdp (Remote control desktop) with a keylogger which provided me access to your display as well as cam. Right after that, my software gathered all of your contacts from your messenger, fb, and mailbox.

After that I gave in more time than I should have into your life and created a two view video. 1st part displays the recording you were watching and next part displays the video from your web camera (its you doing dirty things).

Frankly, I am ready to forget everything about you and let you get on with your daily life. And my goal is to present you two options which will accomplish that. The above option is with the idea to ignore this letter, or simply pay me $ 2900. Let us understand these 2 options in more detail.

Option 1 is to ignore this mail. You should know what will happen if you take this path. I will send out your video to all your contacts including close relatives, colleagues, and so on. It does not help you avoid the humiliation your household will need to face when friends learn your sordid details from me.

Other Option is to send me $ 2900. We’ll name it my “privacy fee”. Now let me tell you what happens if you choose this path. Your secret remains your secret. I will destroy the recording immediately. You keep your daily life like nothing ever happened.

At this point you must be thinking, “I will complain to the police”. Let me tell you, I've covered my steps to ensure this email can't be traced to me and it will not stay away from the evidence from destroying your life. I am not planning to steal all your savings. I just want to get paid for my efforts I put in investigating you. Let's hope you decide to produce all of this vanish entirely and pay me my confidentiality fee. You'll make the payment via Bitcoins (if you don't know how, type "how to buy bitcoins" in search engine)

Amount to be sent: $ 2900
Receiving Bitcoin Address: 1KBVnnJCPMDai81kMq2sUMFPKejAo7svE9
(It is cASe sensitive, so copy and paste it carefully)

Tell no one what you will be sending the bitcoin for or they possibly will not provide it to you. The task to obtain bitcoin can take a few days so do not procrastinate.

I've a special pixel in this e mail, and right now I know that you have read this email message. You have 2 days in order to make the payment. If I don't receive the BitCoin, I will definitely send your video recording to all your contacts including close relatives, colleagues, and so forth. You better come up with an excuse for friends and family before they find out. Nonetheless, if I do get paid, I will erase the video immediately. It's a non negotiable offer, so please don't waste my time & yours. Your time has started.

Lo schema è insomma abbastanza classico, ma c’è quel dettaglio dannatamente credibile e impressionante: come fa il truffatore a sapere la password della vittima? La spiegazione più probabile è che chi sta dietro questa estorsione si sia procurato uno dei tanti archivi di account rubati, contenenti il nome utente (che spesso è l’indirizzo di mail) e la relativa password, e poi li usi per un bluff, sapendo che la maggior parte degli utenti usa la stessa password dappertutto e non la cambia quasi mai o addirittura non ricorda la propria password.

2018/07/15 9:20

È domenica mattina e ho finito poco fa di aiutare una delle tante vittime di questa truffa. Era in lacrime dalla paura: la polizia non la può aiutare e, come capita spesso, aveva in effetti visitato un sito pornografico e non ricordava le proprie password, per cui il bluff dei truffatori le è sembrato molto credibile.

Chi è del mestiere liquida questi tentativi di truffa come banalità, ma non bisogna dimenticare che ci sono tanti utenti non esperti e che i truffatori prendono di mira proprio loro. Sono bastardi senza cuore.

2018/07/15 15:40

Su Twitter ho ricevuto vari commenti perplessi e increduli all’idea che visitare un sito pornografico al giorno d’oggi possa essere fonte di scandalo e imbarazzo al punto di portare una persona alle lacrime o in generale a pagare un riscatto di fronte a una minaccia come questa. Sottolineo che il bluff non minaccia semplicemente di rivelare agli amici, ai colleghi e ai familiari che la vittima ha visitato un sito pornografico, ma anche di indicare dettagliatamente il tipo di pornografia e soprattutto di mostrare una ripresa della vittima mentre ne fruisce.

Se vi sentite immuni, provate a immaginare come vi sentireste di fronte a uno che dice che vi ha ripreso mentre guardavate un video di pornografia estrema e intende mandarlo a vostra madre, al vostro partner e ai vostri colleghi sul posto di lavoro. Buona fortuna.

Netflix sta affrontando in questi giorni una minaccia molto particolare: non quella delle reti televisive tradizionali, di cui sta intaccando il mercato insieme ad Amazon, ma quella dei criminali informatici. Questi criminali, che si fanno chiamare The Dark Overlord (mai uno che scelga un nome poco roboante, che so, Gli Informatici Flaccidi), hanno tentato una singolare forma di estorsione: sono riusciti a procurarsi le puntate inedite della quinta stagione della serie TV Orange is the New Black e hanno minacciato di disseminarle su Internet se Netflix non avesse pagato un riscatto.

L'azienda ha deciso di non pagare e così le puntate sono apparse in Rete sui circuiti che usano il protocollo Bittorrent (attenzione a non infettarsi cercandole). Lo stesso gruppo di criminali ora minaccia di rilasciare altre serie prodotte da altre aziende, come ABC, National Geographic e Fox, secondo quanto segnalato da Naked Security.

Come hanno fatto quelli di The Dark Overlord a procurarsi le puntate? Secondo Netflix, hanno violato la sicurezza di una delle società che si occupa della produzione: un metodo classico, che aveva già colpito per esempio la BBC con un'attesissima puntata della serie Sherlock. Spesso vengono presi di mira gli anelli più fragili della filiera di produzione, come per esempio gli studi di doppiaggio o i traduttori (che vengono così costretti a lavorare in condizioni disumane di paranoia, spesso senza poter neanche vedere quello che stanno traducendo o sottotitolando).

Normalmente, nota Naked Security, una violazione della sicurezza comporta un danno per l'azienda colpita, ma in questo caso sembra che la notizia delle puntate trafugate abbia giovato alla quotazione di borsa di Netflix, forse perché ha fatto parlare i media della vicenda e della serie TV, finendo per diventare una forma di pubblicità.

Questo articolo vi arriva grazie alla gentile donazione di “angelagabri*”.

Ieri, proprio mentre ero in una scuola di Locarno a raccontare agli studenti come riconoscere i tentativi d'inganno, di attacco e di molestia via Internet, è arrivata la notizia del fermo di un uomo di 47 anni, residente nella zona di Berna, per molestie sessuali, atti sessuali con fanciulli e ricatto.

I reati sono stati compiuti selezionando via Internet le vittime (adolescenti maschi fra i 15 e i 17 anni) con una tecnica micidiale: per due anni, sui social network (in particolare Facebook), l'uomo fingeva impunemente di essere una ragazzina (usando foto raccolte in Rete) e offriva materiale pornografico ai ragazzi presi di mira. Difficile resistere alle lusinghe di una ragazzina disinibita: i giovani venivano così convinti a ricambiare l'offerta esibendosi davanti alla webcam. Le loro attività venivano registrate e poi usate come arma di ricatto da parte del pedofilo, sfociando in incontri di persona.

I ragazzi hanno esitato a lungo prima di denunciare i fatti: come avviene spesso in questi terribili casi, la vittima si vergogna di essere caduta nella trappola, teme di essere ulteriormente umiliata se il suo comportamento viene reso pubblico e quindi non ne parla con nessuno, men che meno con i genitori. Il pedofilo crea insomma una situazione dalla quale la vittima non vede alcuna via d'uscita e questo consente alle molestie di protrarsi.

Ma quando questi crimini avvengono via Internet lasciano delle tracce digitali molto chiare, che gli esperti sanno analizzare, non solo per identificare i colpevoli ma anche per confermare, in prima istanza, le accuse dei minorenni coinvolti, che spesso temono di non essere presi sul serio. Internet aiuta i molestati a dimostrare i fatti terribili che raccontano, come ho suggerito in un'intervista [2018/10: link non più funzionante] per il telegiornale della RSI.

Vale, come sempre, la regola di fondo: mai fare davanti a una webcam o a qualunque fotocamera o telecamera nulla che non si farebbe sulla pubblica piazza, neanche quando si crede di conoscere l'interlocutore. Purtroppo molti utenti, non solo giovani, non sanno quanto è facile creare false identità in Rete, si fidano troppo, credono spesso di essere abbastanza furbi da riconoscere un impostore e non immaginano che qualcuno possa essere così vile da circuirli per settimane e anche mesi prima di far scattare la trappola del ricatto.

E se la trappola scatta, l'unico modo per uscirne è parlarne ai genitori e alle autorità, con il conforto di essere creduti grazie alle tracce lasciate inevitabilmente in Rete dai tormentatori.