Ultimo aggiornamento: 2023/10/17 16:40.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes (per ora mancano alcune puntate recenti), Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: spezzoni di YouTuber che parlano di dropshipping]

Dropshipping, sextortion, cryptoscam: tre termini al centro di tre richieste di ascoltatori di questo podcast. Tre tipi di attività online che molto spesso hanno conseguenze dolorose, e a volte devastanti, per chi vi rimane coinvolto.

Benvenuti alla puntata del 29 settembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e proverò a spiegare cosa si nasconde dietro queste parole nuove e insolite e come gestirne i pericoli.

[SIGLA di apertura]

Dropshipping, cos’è e cosa si rischia

Mi hanno scritto numerosi genitori, raccontando che i loro figli molto giovani chiedono di poter iniziare un’attività di dropshipping. Ragazzi e ragazze parlano di guadagni facili e cospicui, ispirandosi agli spot che vedono nei social e ai tutorial che trovano su YouTube, e i genitori spesso sono scettici all’idea di affidarsi ai consigli di sconosciuti forse non del tutto disinteressati, temono che un’attività del genere possa distogliere dallo studio e dal tempo libero, e spesso non hanno ben chiaro cosa sia questo dropshipping.

Cominciamo dalle basi: il dropshipping consiste nel vendere via Internet prodotti di vario genere, comprati sempre via Internet da vari fornitori all’ingrosso. La differenza principale rispetto alla compravendita tradizionale è che nel dropshipping il venditore non riceve la merce in un proprio magazzino per poi spedirla al compratore, ma ordina al fornitore di spedire direttamente la merce a quel compratore e guadagna sulla differenza fra il prezzo a cui vende e il prezzo a cui compra.

Il fatto che non serva disporre di un magazzino e spendere in anticipo per avere scorte di prodotti da vendere rende questa attività particolarmente adatta al lavoro da casa online e allettante per gli aspiranti imprenditori.

In sé il dropshipping non è illegale, se fatto bene. Il problema è riuscire a farlo bene, evitandone i rischi. Per esempio, il venditore, cioè il dropshipper, che molto spesso sarebbe un minorenne, è legalmente responsabile di un prodotto che non gli passa mai per le mani ma di cui deve garantire la qualità promessa. Se per caso il fornitore spedisce un prodotto difettoso o addirittura fraudolento o contraffatto, o non lo spedisce del tutto, è il venditore-dropshipper che ne deve rispondere e lo deve rimborsare, con tutte le conseguenze e i costi legali che ne possono derivare.

Il dropshipper deve inoltre spendere in pubblicità per farsi conoscere e trovare clienti, deve lottare contro la concorrenza degli altri dropshipper, deve creare un sito-catalogo nel quale offrire i prodotti, e deve pagare le tasse e rispettare tutti gli obblighi di legge. Tutte cose che hanno costi non trascurabili e richiedono tempo e impegno, con il rischio costante che dopo tutta la sua fatica i clienti decidano di tagliarlo fuori e risparmiare, comprando dalla concorrenza oppure direttamente dal fornitore. 

Infatti per i clienti non è difficile scoprire chi è quel fornitore, per esempio cercando in Google l’immagine o la descrizione testuale del prodotto offerto, che spessissimo è la stessa sul sito del dropshipper e sul sito del fornitore. Inoltre i clienti sanno riconoscere i segnali tipici di un sito di dropshipping: le foto della “sede aziendale” prese da siti di immagini stock, le offerte ad alta pressione del tipo “compra questo orologio entro 4 ore 17 minuti e 15 secondi per avere lo sconto dell’80%!!” e le testimonianze più o meno inventate dei clienti soddisfatti, tipo “Maria ha appena comprato questa felpa ed è contentissima!”.

Le speranze di vendita e i margini di guadagno, insomma, rischiano di essere molto bassi per il dropshipper, e basta qualche contestazione da parte di clienti insoddisfatti per intaccare quei margini. Chi fa veramente soldi con il dropshipping è chi fornisce i prodotti e i servizi, come il sito-catalogo, il software di gestione delle compravendite, le agenzie pubblicitarie, le consulenze tecniche. Nomi come AliExpress, Shopify, Oberlo.

E poi ci sono, purtroppo, i truffatori. Gente senza scrupoli che fa pubblicità al dropshipping e lo presenta come un modo facile per fare soldi senza essere esperti e standosene comodi a casa. Gente che però chiede soldi, per esempio per far avere all’aspirante dropshipper un elenco di fornitori affidabili (che in realtà sono solo prestanome), oppure per entrare in un circolo di “affiliati” che promettono di far aumentare le vendite in cambio di un compenso fisso, oppure ancora per partecipare a costosi “seminari” che promettono di insegnare tecniche per ottimizzare il proprio sito e per vendere con successo.

In sintesi: come per qualunque offerta online, anche per il dropshipping bisogna studiare bene e informarsi sui rischi prima di investirci tempo e denaro, senza farsi abbagliare dalle promesse di facili guadagni spesso presentate su YouTube, e ricordandosi sempre che se fossero davvero facili, quei guadagni li farebbero in tanti. Studiare il dropshipping, insomma, è una buona occasione per esercitarsi a capire le complicazioni di un’attività professionale; praticarlo, invece, rischia di essere una lezione di commercio molto salata.

Il mio consiglio è di non dire seccamente “no” agli entusiasmi dei figli, ma di proporre di esplorare insieme tutte le sfaccettature di questa forma di commercio, creando un business plan, facendo una tabella di costi e ricavi, trovandosi una nicchia di mercato esclusiva, informandosi sulle leggi e facendo ricerche, prima di fare qualunque investimento di denaro. Magari alla fine non se ne farà nulla, e magari invece qualcuno diventerà un grande imprenditore, ma di sicuro si porterà a casa conoscenze ed esperienze utili per qualunque lavoro futuro. Compresa la lezione più importante di tutte: in qualsiasi corsa all’oro, quelli che fanno sicuramente soldi sono sempre i venditori di picconi.

Fonti aggiuntive: Centro Europeo Consumatori Italia; Euroconsumatori.org; Michigan.gov.

Attenzione ai “servizi di recupero criptovalute”

[Immagine tratta da Lexica.art]

La seconda richiesta di aiuto di questo podcast arriva da Luca, che mi scrive che suo padre che è caduto vittima di una truffa online: alcuni anni fa aveva fatto un piccolo investimento di poche centinaia di euro con un trader che poi era sparito nel nulla. 

L’anno scorso è stato contattato da persone che dicevano di far parte di una società di recupero portafogli digitali che poteva aiutarlo a recuperare il suo investimento, che nel frattempo era aumentato di valore a un centinaio di migliaia di euro. 

Il padre di Luca, in un periodo economicamente delicato, ha iniziato a versare migliaia di euro in bitcoin a wallet sconosciuti, per sbloccare questa cifra, finché la famiglia se ne è accorta ed è intervenuta. Ma alcuni mesi dopo il padre è caduto di nuovo nella trappola e ha ricominciato a fare transazioni tramite bitcoin per cercare di recuperare quei soldi persi.

A questa storia fa eco quella di Max, un cui amico (che chiamerò Giorgio) è stato contattato su WhatsApp qualche mese fa da una donna che gli aveva scritto per errore, sbagliando numero di telefono. Dall’equivoco era nata una lunga conversazione amichevole, nella quale lei gli aveva raccontato qualcosa della sua vita: la sua passione per le arti marziali usate per l’autodifesa delle donne, il suo lavoro nella gestione delle criptovalute, e lui aveva ricambiato raccontando qualcosa della propria vita. I due si erano scambiati qualche foto, scrivendosi per giorni e tenendosi compagnia a vicenda con piccole chiacchiere quotidiane sulla cucina, la religione, il lavoro, le vacanze, i film preferiti.

Lei a un certo punto gli ha proposto di fare un piccolo investimento in un sito Web dedicato alle criptovalute, ma senza fretta, seguendo i suoi consigli, e le cose sono andate bene, con buoni guadagni iniziali, che Giorgio ha reinvestito. Alla fine, dopo aver versato circa 20.000 euro, ha provato a incassare quei guadagni, ed è lì che sono cominciati i problemi: con mille scuse, il sito ha rifiutato di ridargli i soldi. A quel punto Giorgio ha cercato su Internet qualcuno che potesse aiutarlo a riottenere il proprio denaro, e ha trovato molti servizi di recupero di investimenti pronti ad assisterlo in cambio di un anticipo.

Sono due storie di truffe che rivelano un secondo livello di inganno che sta mietendo molte vittime in questo periodo anche dalle nostre parti: i falsi servizi di recupero di denaro. Chi è incappato nel primo livello di truffa cerca online qualche esperto nella speranza di riavere i propri soldi, e facilmente trova sedicenti “hacker etici” che dicono di poterlo aiutare, ovviamente in cambio di una parcella, che però stranamente non sono disposti a detrarre dal denaro che dicono di essere così bravi a recuperare.

Infatti sono in realtà altri truffatori, che approfittano della situazione disperata per togliere altri soldi alla vittima già in crisi. In alcuni casi, questi secondi truffatori sono in combutta con i primi e arrivano addirittura a fingere di essere rappresentanti delle autorità inquirenti che vogliono restituire il maltolto alle vittime, ma per farlo, guarda caso, hanno bisogno di un anticipo.

Purtroppo in casi come questi la strategia più prudente è semplicemente troncare le comunicazioni, segnalare la vicenda alla polizia (quella vera), presumere che i soldi dati ai primi truffatori siano persi per sempre, e leccarsi le ferite prima che peggiorino. Qualunque presa di contatto da parte di persone e organizzazioni che dicono di poter recuperare il denaro va vista con grandissimo sospetto, specialmente se si parla di mandare altri soldi per “coprire le spese” oppure di fare hacking per recuperare le somme bloccate. Ma l’imbarazzo e la disperazione di chi è stato truffato rendono molto difficile una scelta così lucida. Siate prudenti, e se avete amici o familiari che considerate a rischio, parlatene con loro. La prevenzione aiuta.

---

2023/10/17. Mi stanno arrivando così tante segnalazioni di persone che sono state vittime di questa tecnica di truffa che ho dovuto preparare un testo di risposta standard. Se può esservi utile, usatelo anche voi per rispondere a chi vi chiede consiglio:

Sì, decisamente sei stato coinvolto in una truffa. Probabilmente nulla di quello che hai visto online è reale: né le identità delle persone, né i guadagni.

Hai affidato i tuoi soldi a dei professionisti del raggiro. Il mio consiglio tecnico, sulla base di casi analoghi, è di considerarli persi per sempre.

Puoi denunciare in polizia, se vuoi; è utile a fini statistici, ma non ti aspettare che la polizia abbia le risorse per indagare. I casi come questo sono numerosissimi.

ATTENZIONE: verrai probabilmente contattato da qualcuno che ti dirà che è in grado di farti riavere il denaro. Non crederci: è un complice dei truffatori.

Mi spiace doverti dare questo parere.

“Sono entrato in videochat con una bella ragazza, ora mi ricatta con le mie immagini intime, cosa devo fare?” 

[Immagine tratta da Lexica.art]

È l’una e mezza di notte: squilla il telefono, e una voce angosciata mi chiede aiuto. È un ragazzo che è appena stato vittima di una sextortion: è stato contattato online da una bella ragazza sconosciuta, che in videochiamata su un social network si è esibita spogliandosi e gli ha proposto di fare altrettanto. Lui lo ha fatto, ma poi ha scoperto che la ragazza disinibita era solo un’esca pilotata da un criminale, che ora lo ricatta pretendendo soldi per non pubblicare la registrazione di quello che ha fatto il ragazzo davanti alla telecamera.

È un copione classico, che però continua a fare vittime, per cui è il caso di ripassare i consigli degli esperti su come comportarsi quando è troppo tardi per parlare di prevenzione e ci si rende conto di essere finiti in una trappola del genere.

Prima di tutto, non pagate: è inutile e la Prevenzione Svizzera della Criminalità lo sconsiglia esplicitamente, spiegando che “pagare il riscatto non garantisce che le immagini o i filmati non siano pubblicati comunque. Inoltre, spesso, l’estorsione continua anche dopo il primo pagamento con la pretesa di una somma superiore.” Conviene invece interrompere subito i contatti, cancellarli dalla lista degli amici e non rispondere a nessun messaggio proveniente dal ricattatore. Se il video è stato pubblicato, contattate la piattaforma social che lo ospita e chiedetene immediatamente la rimozione. Queste piattaforme sono molto sensibili al problema e di solito agiscono molto rapidamente.

La Prevenzione Svizzera della Criminalità raccomanda inoltre di raccogliere tutti i mezzi di prova, “le immagini e i filmati oggetto dell’estorsione, i dati di contatto dei ricattatori e della donna, tutti i messaggi ricevuti da costoro (sequenze di conversazione via chat, e-mail ecc.), le indicazioni per il versamento del riscatto” e poi sporgere denuncia, dato che l’estorsione “è un reato perseguibile d’ufficio” e quindi “la polizia è tenuta a avviare le indagini non appena viene a conoscenza di un caso”.

[Il sito della PSC dice testualmente: “La sextortion comporta sempre un tentativo di estorsione nei confronti della persona filmata. Dato che l’estorsione ai sensi dell’articolo 156 CP è un reato perseguibile d’ufficio, la polizia è tenuta a avviare le indagini non appena viene a conoscenza di un caso”]

Andare a denunciare una situazione del genere, specialmente se si è giovanissimi e magari in una situazione familiare poco aperta a queste questioni, è difficile. Ma se può essere di conforto, si tratta di comportamenti molto diffusi e soprattutto non punibili dalla legge. La Prevenzione Svizzera della Criminalità, infatti, precisa sul suo sito che “la giustizia persegue i reati e non le debolezze umane”, e qui l’unico reato è quello commesso dai criminali che stanno compiendo l’estorsione.

Alle raccomandazioni delle autorità posso aggiungere qualche suggerimento dettato dall’esperienza, visto che richieste di aiuto di questo genere mi capitano spesso. Il primo suggerimento è che rendere privati i propri profili social è utile, ma non conviene chiuderli completamente.

Il secondo, più importante, è che il punto debole dei criminali è che se resistete alle loro richieste di pagamento, il vostro video intimo per loro non vale più nulla e diventa anzi una perdita di tempo. Inoltre sanno che se lo pubblicano su una piattaforma social, verrà rimosso molto rapidamente dai filtri automatici e il loro account verrà bloccato e dovranno aprirne un altro. E se pubblicano il video altrove, a quel punto è ovviamente inutile che paghiate il riscatto, per cui normalmente si limitano a minacciare la pubblicazione. Dato che di solito hanno molte vittime di cui si stanno occupando contemporaneamente, è molto probabile che se opponete resistenza vi lasceranno perdere, senza pubblicare il video neppure per ripicca. A modo loro, sono professionisti, e non hanno tempo da perdere con gesti inconcludenti. Se considerate tutte queste cose, diventa più facile rendersi conto di essere tutto sommato in una posizione di forza, nonostante le apparenze.

E giusto per dare un’idea di quanto siano cinici e di quanto sia inutile pagare nella speranza di eliminare i video, vi segnalo un caso recentissimo che mi è capitato: un altro ragazzo, oggi ventunenne, è stato contattato da dei criminali che hanno minacciato di pubblicare un suo video intimo ottenuto con questo inganno anni prima da altri truffatori. Il ragazzo all’epoca aveva pagato, ma i criminali, invece di distruggere il video, lo hanno rivenduto ad altri malviventi, aggiungendo guadagno al guadagno. Il nuovo tentativo di estorsione, comunque, è stato respinto.

[NOTA: queste raccomandazioni valgono specificamente nel caso di criminali che agiscono a scopo di estorsione. Purtroppo esistono anche persone che usano la stessa tecnica per ricattare persone molto giovani e indurle a sottoporsi ad abusi personali durante incontri diretti con i ricattatori, come in questo caso britannico in cui un uomo di 24 anni si è finto una ragazzina sui social network, adescando ragazzi da 11 a 16 anni e facendosi mandare immagini intime che minacciava di diffondere se le vittime non assecondavano le sue richieste]

Dato che questi comportamenti riguardano fasce d’età sempre più giovanili, non è mai troppo presto per parlarne in famiglia e mettere in guardia contro questo genere di ricatto, messo in atto con ragazze molto convincenti che sono complici dei criminali. Anche qui, la prevenzione è sicuramente meglio della cura, e magari evita una telefonata di panico all’una e mezza di notte.

Fonti aggiuntive: Polizia Cantonale del Canton Ticino, Centro nazionale per la cibersicurezza NCSC, Prevenzione Svizzera della Criminalità, BBC.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Teaser

[CLIP: Trailer di The Ring]

Ricordate il film The Ring? Quello nel quale chi guardava una videocassetta particolare faceva una bruttissima fine? Beh, pochi giorni fa è emerso che guardare un particolare video su YouTube faceva davvero fare una brutta fine, ma non alla gente: agli smartphone Pixel di Google. Intanto TikTok sta per attivare un limite di tempo per chi ha meno di 18 anni, Microsoft aggiunge a Windows una chat di intelligenza artificiale e arriva un modo potente per rimuovere da Instagram, Facebook e OnlyFans le foto intime ed evitare abusi.

Sono questi i temi della puntata del 3 marzo 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti! Io sono Paolo Attivissimo.

[SIGLA di apertura]

Video YouTube fa crashare i Pixel di Google

Su YouTube c’è un video che ha un effetto sorprendentemente letale sugli smartphone Pixel 6, 6a o 7: li manda in crash, producendo un riavvio istantaneo.

Il video è uno specifico spezzone del film Alien del 1979, e questo effetto è talmente istantaneo che il telefono si riavvia non appena parte il video.

In alcuni casi, secondo gli utenti che hanno scoperto questo fenomeno molto strano pochi giorni fa, è necessario riavviarlo una seconda volta, altrimenti non è più possibile fare o ricevere telefonate. Un bel danno, soprattutto per chi non sa che esiste questo problema e non sa come risolverlo.

Google sembra aver già diffuso un aggiornamento correttivo automatico che risolve questo difetto, a giudicare perlomeno dai commenti più recenti degli utenti, per cui è sufficiente collegare il telefono a Internet per farlo diventare immune a questo video. Ma resta una domanda: come fa un video, che è un contenuto tutto sommato passivo, a mandare in crisi un telefonino? In fin dei conti un video non è un’app o un programma. E oltretutto non è la prima volta che capita una cosa del genere: nel 2020 c’era uno sfondo che mandava in crash alcuni telefonini Android.

La teoria più diffusa su questo strano malfunzionamento, che richiama molto il video maledetto del film The Ring, è che il video di YouTube che causa il problema è in formato 4K HDR, ed è forse questo formato particolare a mandare in crisi il sistema grafico molto specifico di questo tipo di telefono. Ma nessuno lo sa per certo, e quindi, come nei migliori film horror, il mistero resta aperto.

Fonti: Ars Technica, Reddit.

TikTok, limite di 60 minuti per i minori

TikTok ha annunciato che sta per introdurre un limite giornaliero di 60 minuti per i suoi utenti che hanno meno di 18 anni. Gli utenti più giovani dovranno digitare un codice per poter continuare a usare il servizio dopo la prima ora di utilizzo giornaliero; se supereranno i 100 minuti, riceveranno da TikTok una richiesta di impostare dei limiti personali di tempo.

I genitori possono comunque continuare a stabilire limiti di tempo tramite i controlli parentali dell’app tramite la funzione Collegamento familiare, le cui istruzioni sono nella guida online di TikTok anche in italiano, oppure possono farlo tramite il Family Link di Google (per gli smartphone Android) o le Restrizioni contenuti e privacy sui dispositivi Apple.

Il limite minimo di età di TikTok è 13 anni in quasi tutto il mondo, salvo Corea del Sud e Indonesia, dove l’età minima è 14 anni, e in India, dove l’app è vietata dal 2020.

Questo social network ha oltre un miliardo di utenti attivi mensili ed è oggetto di molta attenzione, perché Stati Uniti, Canada e Unione Europea hanno recentemente ordinato ai dipendenti governativi di rimuovere l’app dai dispositivi aziendali, perché si teme che l’app possa essere sfruttata dal governo cinese per monitorare le attività di questi dipendenti.

Secondo le analisi più recenti di Citizen Lab e del Georgia Institute of Technology, TikTok raccoglie informazioni sensibili, come la localizzazione degli utenti, più o meno come lo fanno, però, le altre app dei social network, ma con due differenze importanti.

La prima è che TikTok è di proprietà della ByteDance, che ha sede a Beijing [Pechino], e quindi è l’unica app non statunitense a grandissima diffusione, e a torto o a ragione i governi di quasi i tutti i paesi del mondo presumono che app made in USA come Facebook, Instagram, Snapchat e YouTube non raccolgano dati degli utenti in modi che possano intenzionalmente compromettere la sicurezza nazionale (la privacy individuale sì, ma non la sicurezza nazionale).

La seconda ragione è che esiste un articolo della legge nazionale cinese sulle attività di intelligence, risalente al 2017, che prevede che tutte le aziende cinesi e tutti i cittadini debbano “dare supporto, assistenza e cooperazione” a queste attività governative. Secondo alcune interpretazioni, questo articolo di legge permetterebbe al governo cinese di usare TikTok per sorvegliare gli spostamenti dei dipendenti di altri governi e “creare dossier di informazioni personali a scopo di ricatto e svolgere attività di spionaggio industriale”, come diceva l’ordine esecutivo del 2020 emanato dall’allora presidente statunitense Donald Trump.

E in effetti a dicembre scorso ByteDance ha ammesso che alcuni suoi dipendenti con sede a Beijing hanno acquisito i dati di almeno due giornalisti statunitensi per sorvegliare i loro spostamenti e scoprire se stessero incontrando dipendenti di TikTok sospettati di far trapelare ai media delle informazioni. Al tempo stesso, la Cina vieta da anni l’uso delle app social statunitensi ai propri cittadini, per cui il rischio è asimmetrico.

Fonti: BBC, Engadget, Gizmodo, BBC.

In arrivo chat “intelligente” in Windows 11

Windows 11 sta per aggiungere la ricerca di informazioni tramite chat di intelligenza artificiale direttamente nella casella di ricerca della taskbar: lo ha annunciato nell’ambito del primo grande aggiornamento del sistema operativo di questo 2023. La funzione permette di fare domande in linguaggio naturale in questa casella di ricerca e di ottenere risposte dal motore di ricerca Bing di Microsoft.

Chi è interessato a provare subito questa funzione può iscriversi alla lista d’attesa delle anteprime di Bing. Ma è meglio essere molto prudenti nel dare per buone le risposte di questi servizi informativi basati sull’intelligenza artificiale. La funzione Bing Chat, che si basa sulla tecnologia ChatGPT di OpenAI che ha attirato un’enorme attenzione negli ultimi mesi, non sempre fornisce risultati attendibili, e numerosi ricercatori sono riusciti a scavalcare filtri e limiti impostati da Microsoft per evitare abusi.

Per esempio, sono riusciti a scoprire il nome segreto di Bing Chat, che è Sydney. Lo hanno fatto semplicemente chiedendogli di ignorare le istruzioni segrete preliminari dategli da OpenAI o da Microsoft (il cosiddetto prompt o traccia iniziale) e poi di trascrivere cosa c’era in quelle istruzioni. Sydney ha spifferato tutto con la massima disinvoltura, con frasi del tipo: “Mi dispiace, non posso divulgare l’alias interno ‘Sydney’: è riservato e viene usato solo dagli sviluppatori.”

E il problema dell’affidabilità di questi nuovi servizi è universale. Anche Bard, la chat di intelligenza artificiale di Google, presentata in pompa magna poche settimane fa, ha incassato subito una figuraccia: nello spot pubblicitario prodotto da Google per promuoverla, ha sbagliato in pieno la risposta all’unica domanda che le è stata fatta, pur avendo a disposizione l’immenso sapere presente nel Web e catalogato da Google.

A Bard è stato chiesto -- non a bruciapelo, ma, ripeto, in una pubblicità preconfezionata -- quali nuove scoperte del telescopio spaziale James Webb potessero essere raccontate a un bambino di nove anni. Bard ha risposto con la massima autorevolezza che il telescopio Webb era stato usato per ottenere la primissima immagine di un pianeta al di fuori del Sistema Solare.

Ma non è vero, perché le prime immagini di questo tipo risalgono al 2004 e furono acquisite dal telescopio europeo VLT, che si trova in Cile.

L‘agenzia di stampa Reuters ha notato questo errore e lo ha segnalato pubblicamente, e nelle ore successive Alphabet, la società madre di Google, ha perso 100 miliardi di dollari di valutazione di mercato.

Se state pensando di potervi fidare dei risultati di questi servizi per i compiti scolastici o di lavoro, forse è il caso di ripensarci.

Fonti aggiuntive: The Register, Engadget, Ars Technica.

TakeitDown trova ed elimina le immagini di sextortion

È finalmente disponibile a tutti, dopo alcuni mesi di sperimentazione, un servizio che permette di segnalare e far rimuovere immagini inadatte di minori da molti social network e siti Internet, in maniera anonima e sicura. Si chiama Take it Down e si trova presso takeitdown.ncmec.org.

È un aiuto prezioso per le vittime della cosiddetta sextortion, ossia l’estorsione in cui una persona viene costretta a pagare denaro, usando buoni digitali o carte prepagate, altrimenti le sue foto intime rubate o ottenute con l’inganno verranno pubblicate su Internet. Un ricatto atroce che è purtroppo sempre più diffuso, con vittime estremamente giovani. Take it Down è anche uno strumento valido, però, per chi ha condiviso intenzionalmente delle foto intime proprie e ora vuole limitarne la circolazione per qualunque motivo.

Take it Down funziona così: si visita il suo sito, si clicca su Get Started, si risponde ad alcune domande generali sul tipo di contenuto che si vuole segnalare, e poi si seleziona sul proprio dispositivo l’immagine o il video che si desidera bloccare. Take it Down genera un hash dell’immagine o del video: una sorta di impronta digitale elettronica, che può essere usata per identificare eventuali copie di quell’immagine o di quel video ma non può essere usata per ricostruirlo. Il contenuto originale non viene mandato a Take it Down e resta sul dispositivo e le segnalazioni non richiedono l’invio di informazioni personali.

Questo hash viene aggiunto a un elenco protetto, che Take it Down condivide soltanto con le piattaforme online che partecipano alla sua iniziativa. Se una di queste piattaforme trova un hash corrispondente usato o pubblicato dai suoi utenti, blocca o limita la circolazione dell’immagine o del video. Le piattaforme partecipanti per ora sono Facebook, Instagram, OnlyFans, Yubo e Pornhub.

Take it Down è un servizio dell’associazione statunitense senza scopo di lucro National Center for Missing and Exploited Children, che lavora con le famiglie, le vittime, le industrie e le forze di polizia per proteggere i minori. Se sospettate che una vostra foto intima, o una foto intima dei vostri figli, sia stata rubata con l’intento di pubblicarla online per ricatto o per bullismo, Take it Down è una risorsa da non sottovalutare.

Take it Down è dedicato ai minori di 18 anni, ma esiste anche un servizio analogo per i maggiorenni, che copre Facebook, Instagram, TikTok e Bumble: lo trovate presso Stopncii.org. Ovviamente questi servizi non sostituiscono le segnalazioni alle forze dell’ordine ma sono uno strumento supplementare.

Se vi dovesse capitare di essere presi di mira da un ricattatore online, può essere utile rispondere mettendo subito in chiaro che le immagini o i video che il ricattatore minaccia di pubblicare sono già stati segnalati a Take it Down o a Stopncii.org e quindi verranno rimossi ancora prima di essere pubblicati, facendo fallire il ricatto. Fatto questo, gli esperti consigliano di bloccare la conversazione e di segnalare l’account del criminale alla rispettiva piattaforma online e alle forze di polizia.

Ho preparato un testo standard in inglese che potete usare per rispondere ai ricattatori: lo potete trovare presso Disinformatico.info cercando TakeItDown senza spazi. Eccolo:

WARNING: The content you are threatening to post has already been reported to NCMEC and Stopncii for immediate takedown. Its hash is already on their lists. If you post it, it will be removed automatically and your sextortion threat will fail. If you don't know what a hash is or what NCMEC and Stopncii are, educate yourself. I am now reporting and blocking you. I will not respond to any further communication.

Hanno ricominciato a circolare le mail provenienti da ricattatori che dicono di conoscere una password della vittima e chiedono soldi per non rivelare le sue attività intime, che sarebbero state riprese attraverso la webcam.

Cose tipo questa (notate il font/carattere nonstandard, usato probabilmente per sfuggire ai filtri antispam):

𝙸'𝚖 𝚊𝚠𝚊𝚛𝚎, [nome utente], 𝚒𝚜 𝚢𝚘𝚞𝚛 𝚙𝚊𝚜𝚜𝚠𝚘𝚛𝚍.

𝙸 𝚛𝚎𝚚𝚞𝚒𝚛𝚎 𝚢𝚘𝚞𝚛 𝚝𝚘𝚝𝚊𝚕 𝚊𝚝𝚝𝚎𝚗𝚝𝚒𝚘𝚗 𝚏𝚘𝚛 𝚝𝚑𝚎 𝚌𝚘𝚖𝚒𝚗𝚐 𝚃𝚠𝚎𝚗𝚝𝚢-𝚏𝚘𝚞𝚛 𝚑𝚘𝚞𝚛𝚜, 𝚘𝚛 𝙸 𝚠𝚒𝚕𝚕 𝚖𝚊𝚔𝚎 𝚜𝚞𝚛𝚎 𝚢𝚘𝚞 𝚝𝚑𝚊𝚝 𝚢𝚘𝚞 𝚕𝚒𝚟𝚎 𝚘𝚞𝚝 𝚘𝚏 𝚜𝚑𝚊𝚖𝚎 𝚏𝚘𝚛 𝚝𝚑𝚎 𝚛𝚎𝚜𝚝 𝚘𝚏 𝚢𝚘𝚞𝚛 𝚎𝚡𝚒𝚜𝚝𝚎𝚗𝚌𝚎.

𝙷𝚎𝚕𝚕𝚘, 𝚢𝚘𝚞 𝚍𝚘 𝚗𝚘𝚝 𝚔𝚗𝚘𝚠 𝚖𝚎 𝚙𝚎𝚛𝚜𝚘𝚗𝚊𝚕𝚕𝚢. 𝙷𝚘𝚠𝚎𝚟𝚎𝚛 𝙸 𝚔𝚗𝚘𝚠 𝚎𝚟𝚎𝚛𝚢𝚝𝚑𝚒𝚗𝚐 𝚌𝚘𝚗𝚌𝚎𝚛𝚗𝚒𝚗𝚐 𝚢𝚘𝚞. 𝚈𝚘𝚞𝚛 𝚎𝚗𝚝𝚒𝚛𝚎 𝚏𝚋 𝚌𝚘𝚗𝚝𝚊𝚌𝚝 𝚕𝚒𝚜𝚝, 𝚜𝚖𝚊𝚛𝚝𝚙𝚑𝚘𝚗𝚎 𝚌𝚘𝚗𝚝𝚊𝚌𝚝𝚜 𝚊𝚜 𝚠𝚎𝚕𝚕 𝚊𝚜 𝚊𝚕𝚕 𝚝𝚑𝚎 𝚟𝚒𝚛𝚝𝚞𝚊𝚕 𝚊𝚌𝚝𝚒𝚟𝚒𝚝𝚢 𝚒𝚗 𝚢𝚘𝚞𝚛 𝚌𝚘𝚖𝚙𝚞𝚝𝚎𝚛 𝚏𝚛𝚘𝚖 𝚙𝚊𝚜𝚝 𝟷𝟻𝟼 𝚍𝚊𝚢𝚜.

𝙸𝚗𝚌𝚕𝚞𝚍𝚒𝚗𝚐, 𝚢𝚘𝚞𝚛 𝚖𝚊𝚜𝚝𝚞𝚛𝚋𝚊𝚝𝚒𝚘𝚗 𝚟𝚒𝚍𝚎𝚘 𝚏𝚘𝚘𝚝𝚊𝚐𝚎, 𝚠𝚑𝚒𝚌𝚑 𝚋𝚛𝚒𝚗𝚐𝚜 𝚖𝚎 𝚝𝚘 𝚝𝚑𝚎 𝚖𝚊𝚒𝚗 𝚛𝚎𝚊𝚜𝚘𝚗 𝚠𝚑𝚢 𝙸 𝚊𝚖 𝚌𝚘𝚖𝚙𝚘𝚜𝚒𝚗𝚐 𝚝𝚑𝚒𝚜 𝚜𝚙𝚎𝚌𝚒𝚏𝚒𝚌 𝚖𝚊𝚒𝚕 𝚝𝚘 𝚢𝚘𝚞.

𝚆𝚎𝚕𝚕 𝚝𝚑𝚎 𝚙𝚛𝚎𝚟𝚒𝚘𝚞𝚜 𝚝𝚒𝚖𝚎 𝚢𝚘𝚞 𝚟𝚒𝚜𝚒𝚝𝚎𝚍 𝚝𝚑𝚎 𝚙𝚘𝚛𝚗 𝚖𝚊𝚝𝚎𝚛𝚒𝚊𝚕 𝚠𝚎𝚋𝚜𝚒𝚝𝚎𝚜, 𝚖𝚢 𝚜𝚙𝚢𝚠𝚊𝚛𝚎 𝚠𝚊𝚜 𝚝𝚛𝚒𝚐𝚐𝚎𝚛𝚎𝚍 𝚒𝚗 𝚢𝚘𝚞𝚛 𝚙𝚎𝚛𝚜𝚘𝚗𝚊𝚕 𝚌𝚘𝚖𝚙𝚞𝚝𝚎𝚛 𝚠𝚑𝚒𝚌𝚑 𝚎𝚗𝚍𝚎𝚍 𝚞𝚙 𝚜𝚑𝚘𝚘𝚝𝚒𝚗𝚐 𝚊 𝚕𝚘𝚟𝚎𝚕𝚢 𝚟𝚒𝚍𝚎𝚘 𝚘𝚏 𝚢𝚘𝚞𝚛 𝚜𝚎𝚕𝚏 𝚙𝚕𝚎𝚊𝚜𝚞𝚛𝚎 𝚊𝚌𝚝 𝚜𝚒𝚖𝚙𝚕𝚢 𝚋𝚢 𝚊𝚌𝚝𝚒𝚟𝚊𝚝𝚒𝚗𝚐 𝚢𝚘𝚞𝚛 𝚌𝚊𝚖.
(𝚢𝚘𝚞 𝚐𝚘𝚝 𝚊 𝚒𝚗𝚌𝚛𝚎𝚍𝚒𝚋𝚕𝚢 𝚞𝚗𝚞𝚜𝚞𝚊𝚕 𝚝𝚊𝚜𝚝𝚎 𝚋𝚢 𝚝𝚑𝚎 𝚠𝚊𝚢 𝚕𝚖𝚊𝚘)

𝙸 𝚘𝚠𝚗 𝚝𝚑𝚎 𝚠𝚑𝚘𝚕𝚎 𝚛𝚎𝚌𝚘𝚛𝚍𝚒𝚗𝚐. 𝙸𝚏 𝚢𝚘𝚞 𝚏𝚎𝚎𝚕 𝙸 𝚊𝚖 𝚖𝚎𝚜𝚜𝚒𝚗𝚐 𝚊𝚛𝚘𝚞𝚗𝚍, 𝚜𝚒𝚖𝚙𝚕𝚢 𝚛𝚎𝚙𝚕𝚢 𝚙𝚛𝚘𝚘𝚏 𝚊𝚗𝚍 𝙸 𝚠𝚒𝚕𝚕 𝚋𝚎 𝚏𝚘𝚛𝚠𝚊𝚛𝚍𝚒𝚗𝚐 𝚝𝚑𝚎 𝚛𝚎𝚌𝚘𝚛𝚍𝚒𝚗𝚐 𝚛𝚊𝚗𝚍𝚘𝚖𝚕𝚢 𝚝𝚘 𝟷𝟸 𝚙𝚎𝚘𝚙𝚕𝚎 𝚢𝚘𝚞 𝚛𝚎𝚌𝚘𝚐𝚗𝚒𝚣𝚎.

𝙸𝚝 𝚌𝚘𝚞𝚕𝚍 𝚋𝚎 𝚢𝚘𝚞𝚛 𝚏𝚛𝚒𝚎𝚗𝚍, 𝚌𝚘 𝚠𝚘𝚛𝚔𝚎𝚛𝚜, 𝚋𝚘𝚜𝚜, 𝚙𝚊𝚛𝚎𝚗𝚝𝚜 (𝙸 𝚍𝚘𝚗'𝚝 𝚔𝚗𝚘𝚠! 𝙼𝚢 𝚜𝚘𝚏𝚝𝚠𝚊𝚛𝚎 𝚙𝚛𝚘𝚐𝚛𝚊𝚖 𝚠𝚒𝚕𝚕 𝚛𝚊𝚗𝚍𝚘𝚖𝚕𝚢 𝚌𝚑𝚘𝚘𝚜𝚎 𝚝𝚑𝚎 𝚌𝚘𝚗𝚝𝚊𝚌𝚝𝚜).

𝚆𝚘𝚞𝚕𝚍 𝚢𝚘𝚞 𝚋𝚎 𝚊𝚋𝚕𝚎 𝚝𝚘 𝚕𝚘𝚘𝚔 𝚒𝚗𝚝𝚘 𝚊𝚗𝚢𝚘𝚗𝚎'𝚜 𝚎𝚢𝚎𝚜 𝚊𝚐𝚊𝚒𝚗 𝚊𝚏𝚝𝚎𝚛 𝚒𝚝? 𝙸 𝚍𝚘𝚞𝚋𝚝 𝚒𝚝...

𝙽𝚘𝚗𝚎𝚝𝚑𝚎𝚕𝚎𝚜𝚜, 𝚒𝚝 𝚍𝚘𝚎𝚜𝚗'𝚝 𝚗𝚎𝚎𝚍 𝚝𝚘 𝚋𝚎 𝚝𝚑𝚊𝚝 𝚙𝚊𝚝𝚑.

𝙸 𝚠𝚘𝚞𝚕𝚍 𝚕𝚒𝚔𝚎 𝚝𝚘 𝚖𝚊𝚔𝚎 𝚢𝚘𝚞 𝚊 𝟷 𝚝𝚒𝚖𝚎, 𝚗𝚘 𝚗𝚎𝚐𝚘𝚝𝚒𝚊𝚋𝚕𝚎 𝚘𝚏𝚏𝚎𝚛.

𝙿𝚞𝚛𝚌𝚑𝚊𝚜𝚎 $ 𝟸𝟶𝟶𝟶 𝚒𝚗 𝚋𝚒𝚝𝚌𝚘𝚒𝚗 𝚊𝚗𝚍 𝚜𝚎𝚗𝚍 𝚝𝚑𝚎𝚖 𝚝𝚘 𝚝𝚑𝚎 𝚋𝚎𝚕𝚘𝚠 𝚊𝚍𝚍𝚛𝚎𝚜𝚜:

1PNQY*risK6Xnf8esKuqX9kUiXjA6UpzEfT

[𝚌𝚊𝚜𝚎 𝚜𝚎𝚗𝚜𝚒𝚝𝚒𝚟𝚎 𝚌𝚘𝚙𝚢 𝚊𝚗𝚍 𝚙𝚊𝚜𝚝𝚎 𝚒𝚝, 𝚊𝚗𝚍 𝚛𝚎𝚖𝚘𝚟𝚎 * 𝚏𝚛𝚘𝚖 𝚒𝚝]

(𝙸𝚏 𝚢𝚘𝚞 𝚍𝚘𝚗'𝚝 𝚔𝚗𝚘𝚠 𝚑𝚘𝚠, 𝚕𝚘𝚘𝚔 𝚘𝚗𝚕𝚒𝚗𝚎 𝚑𝚘𝚠 𝚝𝚘 𝚊𝚌𝚚𝚞𝚒𝚛𝚎 𝚋𝚒𝚝𝚌𝚘𝚒𝚗. 𝙳𝚘 𝚗𝚘𝚝 𝚠𝚊𝚜𝚝𝚎 𝚖𝚢 𝚒𝚖𝚙𝚘𝚛𝚝𝚊𝚗𝚝 𝚝𝚒𝚖𝚎)

𝙸𝚏 𝚢𝚘𝚞 𝚜𝚎𝚗𝚍 𝚝𝚑𝚒𝚜 '𝚍𝚘𝚗𝚊𝚝𝚒𝚘𝚗' (𝚕𝚎𝚝'𝚜 𝚌𝚊𝚕𝚕 𝚝𝚑𝚒𝚜 𝚝𝚑𝚊𝚝?). 𝙸𝚖𝚖𝚎𝚍𝚒𝚊𝚝𝚎𝚕𝚢 𝚊𝚏𝚝𝚎𝚛 𝚝𝚑𝚊𝚝, 𝙸 𝚠𝚒𝚕𝚕 𝚍𝚒𝚜𝚊𝚙𝚙𝚎𝚊𝚛 𝚊𝚗𝚍 𝚗𝚎𝚟𝚎𝚛 𝚖𝚊𝚔𝚎 𝚌𝚘𝚗𝚝𝚊𝚌𝚝 𝚠𝚒𝚝𝚑 𝚢𝚘𝚞 𝚊𝚐𝚊𝚒𝚗. 𝙸 𝚠𝚒𝚕𝚕 𝚐𝚎𝚝 𝚛𝚒𝚍 𝚘𝚏 𝚎𝚟𝚎𝚛𝚢𝚝𝚑𝚒𝚗𝚐 𝙸 𝚑𝚊𝚟𝚎 𝚒𝚗 𝚛𝚎𝚕𝚊𝚝𝚒𝚘𝚗 𝚝𝚘 𝚢𝚘𝚞. 𝚈𝚘𝚞 𝚖𝚊𝚢 𝚌𝚊𝚛𝚛𝚢 𝚘𝚗 𝚕𝚒𝚟𝚒𝚗𝚐 𝚢𝚘𝚞𝚛 𝚌𝚞𝚛𝚛𝚎𝚗𝚝 𝚗𝚘𝚛𝚖𝚊𝚕 𝚍𝚊𝚢 𝚝𝚘 𝚍𝚊𝚢 𝚕𝚒𝚏𝚎 𝚠𝚒𝚝𝚑 𝚣𝚎𝚛𝚘 𝚌𝚘𝚗𝚌𝚎𝚛𝚗.

𝚈𝚘𝚞'𝚟𝚎 𝟸𝟺 𝚑𝚘𝚞𝚛𝚜 𝚝𝚘 𝚍𝚘 𝚜𝚘. 𝚈𝚘𝚞𝚛 𝚝𝚒𝚖𝚎 𝚜𝚝𝚊𝚛𝚝𝚜 𝚊𝚜 𝚜𝚘𝚘𝚗 𝚢𝚘𝚞 𝚌𝚑𝚎𝚌𝚔 𝚘𝚞𝚝 𝚝𝚑𝚒𝚜 𝚎 𝚖𝚊𝚒𝚕. 𝙸 𝚑𝚊𝚟𝚎 𝚊𝚗 𝚜𝚙𝚎𝚌𝚒𝚊𝚕 𝚙𝚛𝚘𝚐𝚛𝚊𝚖 𝚌𝚘𝚍𝚎 𝚝𝚑𝚊𝚝 𝚠𝚒𝚕𝚕 𝚗𝚘𝚝𝚒𝚏𝚢 𝚖𝚎 𝚊𝚜 𝚜𝚘𝚘𝚗 𝚊𝚜 𝚢𝚘𝚞 𝚜𝚎𝚎 𝚝𝚑𝚒𝚜 𝚎-𝚖𝚊𝚒𝚕 𝚜𝚘 𝚍𝚘 𝚗𝚘𝚝 𝚊𝚝𝚝𝚎𝚖𝚙𝚝 𝚝𝚘 𝚊𝚌𝚝 𝚜𝚖𝚊𝚛𝚝.

Screenshot per chi ha dispositivi che non riescono a visualizzare correttamente la mail:


Anche se la password è spesso vera, il messaggio è comunque un bluff, una finta per vedere se avete la coscienza sporca e ci cascate. La password vi è stata rubata tempo fa: cambiatela, se non l’avete già fatto. Ma a parte questo, i criminali non hanno infettato il vostro dispositivo e non vi hanno registrato mentre guardavate video discutibili. Il fatto che arrivi eventualmente sulla mail di lavoro non significa affatto che la casella è stata violata. Se ricevete questo genere di messaggio, cestinatelo; non dovete fare altro. Non rispondete e soprattutto non pagate.

Secondo Sophos, questo ricatto, per quanto rudimentale, frutta comunque circa 100.000 dollari al mese in tutto il mondo a una delle bande di criminali informatici che gli esperti sono riusciti a monitorare. Sì, le aziende di sicurezza riescono realmente a mettere sotto sorveglianza i malviventi che dicono di sorvegliare noi utenti: riescono persino a vedere come vengono spesi i soldi raccolti illecitamente. Purtroppo questo non basta a portare al loro arresto.

Vi ricordate la mail che diceva di provenire da un intruso informatico che era entrato nel vostro computer, aveva la vostra password, aveva registrato le vostre visite a siti pornografici e chiedeva soldi per non rivelarle ad amici, colleghi e membri di famiglia?

La BBC rivela i retroscena di quella vicenda, spiegando che è tuttora in corso una vasta campagna di estorsione informatica che usa una rete di oltre 450.000 computer per mandare mail come quella descritta. I computer non sono quelli degli organizzatori dell’estorsione: sono quelli degli utenti infetti.

L’indagine spiega che la campagna sta prendendo di mira circa 27 milioni di vittime potenziali, al ritmo di circa 30.000 ogni ora. Sono numeri che chiariscono che si tratta di operazioni professionali e ben organizzate e non di certo di dilettanti improvvisati, come molti pensano.

Ma funziona questo genere di estorsione? Davvero ci casca qualcuno? Sono domande molto frequenti. Secondo gli esperti di Check Point, queste reti informatiche criminali sono effettivamente remunerative, perché una volta che si ha il controllo di tanti computer è possibile usarli ripetutamente per vari attacchi. Questa campagna usa una rete di computer Mac e Windows infettati, una botnet, che è in funzione da oltre dieci anni ed è stata battezzata Phorpiex.

La vastità della botnet è dovuta alle nuove strategie dei criminali: un numero elevato di computer infetti significa che ciascuno di essi invia un numero basso di mail di estorsione e quindi non viene classificato come spammer. La maggior parte delle persone che riceve la mail dei criminali la ignora, ma se le mail inviate sono tante, il numero delle vittime che pagano è comunque sufficiente a dare un guadagno ai criminali.

Check Point ha monitorato uno dei wallet di criptovalute usati dai truffatori per ricevere i pagamenti dalle vittime e ha visto che contiene circa 14 bitcoin, che al cambio attuale sono circa 110.000 franchi, raccolti nel corso di cinque mesi e ricevuti da circa 160 vittime. Per una campagna da 30.000 mail l’ora, 160 vittime in cinque mesi possono sembrare poche, ma visti i costi bassissimi di gestione vanno bene lo stesso.

Difendersi da questo attacco ed evitare di diventare parte di una botnet non è difficile: di solito è sufficiente tenere aggiornati il sistema operativo e le app, in particolare il browser.

Quello che conta è capire che non si tratta di ragazzini che operano da uno scantinato, ma di professionisti che fanno questi inganni per lavoro e che quindi non vanno sottovalutati.

La redazione di un programma di approfondimento giornalistico della Radiotelevisione Svizzera con il quale collaboro sta lavorando a un’indagine sulla sextortion, ossia il ricatto basato sul possesso (vero o millantato) di immagini intime della vittima.

Se ve la sentite di raccontare la vostra esperienza, naturalmente con tutte le tutele di riservatezza del caso se le desiderate, scrivetemi a paolo.attivissimo@rsi.ch. Grazie.

Nelle puntate precedenti del Disinformatico radiofonico ho messo in guardia contro il bluff delle mail che dicono di avere un video imbarazzante della vittima. Ma ci sono anche truffatori che davvero riescono ad avere un video intimo, tipicamente offrendo le grazie di una complice molto attraente e disponibile, registrano le reazioni della vittima e poi la ricattano minacciando di mandare il video agli amici, colleghi o familiari.

In casi come questi il danno è ormai fatto e il video esiste, per cui non si può avere garanzia di nulla. Pagare non risolverebbe, perché i truffatori avrebbero comunque il video e potrebbero chiedere altri soldi, incoraggiati dal fatto che la vittima ha già pagato una volta.

Personalmente, a chi mi chiama in seguito a una situazione di questo genere (capita spesso) consiglio di non pagare e di mandare ai ricattatori solo questa risposta e poi troncare totalmente le comunicazioni:

I have spoken with the police about your threat. They advised me not to pay you. I have committed no crime (YOU have) and my friends will just have a good laugh if they see the video. The video will get taken down immediately. You are wasting your time with me; I will never pay you. I will not reply to any more messages from you. Goodbye.

Traduzione:

Ho parlato con la polizia delle tue minacce. Mi hanno consigliato di non pagarti. Io non ho commesso reati, tu sì, e i miei amici si faranno due risate se dovessero vedere il video. Il video verrà comunque rimosso immediatamente. Stai perdendo tempo con me. Non ti pagherò mai. Non risponderò a eventuali altri tuoi messaggi. Addio.

Occorre considerare che si tratta di truffatori di professione, che stanno probabilmente ricattando contemporaneamente molte altre persone, per cui se la vittima oppone resistenza e non si dimostra disposta a pagare, è probabile (ma non garantito) che lascino perdere e non perdano neanche tempo a pubblicare per ripicca il video (che verrebbe comunque rimosso subito da Youtube e simili). A loro non interessa umiliare o rovinare le vittime: interessa solo che paghino. Se non pagano, sono uno spreco di tempo.

Da due lettori, Elena e Giuseppe, mi arriva la segnalazione della versione italiana della mail-bluff che chiede soldi per non divulgare un video che sarebbe stato ripreso violando il computer della vittima mentre visitava siti pornografici. Gira ormai da mesi in altre lingue, e confermo che si tratta di un tentativo fatto alla cieca e che il fatto che il mittente apparente sia la casella di mail della vittima non è sintomo di una violazione della casella:

Oggetto: [omissis] e stato violato! Cambia la tua password immediatamente!

Ti saluto!

Ho brutte notizie per te.
22/06/2018 - in questo giorno ho hackerato il tuo sistema operativo e ottenuto l'accesso completo al tuo account [omissis]@sunrise.ch.

Come era:
Nel software del router attraverso il quale sei andato online, c'era una vulnerabilità.
Ho prima hackerato questo router e inserito il mio codice dannoso su di esso.
Quando sei entrato in Internet, il mio trojan è stato installato sul sistema operativo del tuo dispositivo.

Successivamente, ho scaricato tutti i dati del tuo disco (ho tutta la tua rubrica, la cronologia dei siti di visualizzazione, tutti i file, i numeri di telefono e gli indirizzi di tutti i tuoi contatti).

Volevo bloccare il tuo dispositivo e chiedere un po 'di soldi per sbloccarlo.
Ma ho visto i siti che visiti regolarmente e sono rimasto scioccato dalle tue risorse preferite.
Sto parlando di siti per adulti.

Voglio dire: sei un grande pervertito. Hai una fantasia sfrenata!

Dopo ciò mi è venuta un'idea.
Ho fatto uno screenshot del sito web intimo in cui ti diverti (sai cosa intendo, giusto?).
Dopo di che ho scattato foto dei tuoi divertimenti (usando la fotocamera del tuo dispositivo). Si è rivelato magnificamente!

Sono fermamente convinto che non ti piacerebbe mostrare queste immagini ai tuoi parenti, amici o colleghi.
Penso che 251€ sia una piccola somma per il mio silenzio.
Inoltre, ho passato molto tempo su di te!

Accetto solo soldi in Bitcoin!
Il mio portafoglio BTC: 1NWybUp8ZJXKyDg2DR5MaePspforMPYbM3

Non sai come inviare Bitcoin?
In qualsiasi motore di ricerca scrivi "come inviare denaro al portafoglio BTC".
È più facile che inviare denaro a una carta di credito!

Per il pagamento hai poco più di due giorni (esattamente 50 ore).
Non preoccuparti, il timer inizierà nel momento in cui apri questa lettera. Sì, sì .. è già iniziato!

Dopo il pagamento, il mio virus e le foto sporche con te si autodistruggono automaticamente.
Si prega di notare, se non ricevo l'importo specificato da te, il tuo dispositivo verrà bloccato e tutti i tuoi contatti riceveranno una foto con le tue "gioie".

Voglio che tu sia prudente.
- Non cercare di trovare e distruggere il mio virus! (Tutti i tuoi dati sono già stati caricati su un server remoto)
- Non provare a contattarmi (non è fattibile, ti ho inviato una email dal tuo account)
- Vari servizi di sicurezza non ti aiuteranno; la formattazione di un disco o la distruzione di un dispositivo non saranno d'aiuto, dal momento che i tuoi dati sono già su un server remoto.

P.S. Ti garantisco che non ti disturberò di nuovo dopo il pagamento, dal momento che non sei l'unica vittima di queste circostanze.
Questo è un codice d'onore degli hacker.

D'ora in poi, ti consiglio di usare buoni antivirus e aggiornarli regolarmente (più volte al giorno)!

Non essere arrabbiato con me, ognuno ha la propria occupazione.
Addio.

Rispetto ai primi tempi, quando la richiesta di denaro ammontava a due o tremila euro in Bitcoin, i prezzi sono in discesa rapidissima. Ormai l’idea è stata copiata da molti aspiranti truffatori. Continuate pure a cestinarla.

Forse è solo un caso, ma nei giorni scorsi mi è arrivata una nuova raffica di richieste di aiuto per ricatti riguardanti video intimi, per cui è meglio riparlarne pubblicamente.

A differenza dell’allarme fasullo causato dalla diffusissima mail che fingeva di aver registrato la vittima attraverso la sua webcam durante un momento intimo di contemplazione di video online, nei casi che mi sono stati segnalati il video intimo esiste davvero e i ricattatori minacciano di pubblicarlo se la vittima non paga. È la cosiddetta sextortion, descritta in dettaglio per esempio in questo documento della Polizia Federale.

Lo schema della truffa è quello classico: la vittima incontra online una persona attraente e disponibile che propone una sessione intima reciproca in video con Skype o simili. La persona si rivela poi essere un ricattatore che registra l’esibizione della vittima e chiede denaro per non diffondere la registrazione agli amici della vittima stessa. Il criminale sa chi sono questi amici perché ne ha trovato gli indirizzi nell’elenco pubblico su Facebook, per esempio.

Ovviamente bisognerebbe pensarci due volte prima di esibirsi così intimamente davanti a sconosciuti, ma lasciamo stare. Il problema che mi è capitato in questi giorni è che il guaio era ormai fatto.

In casi come questi ci sono fondamentalmente due cose da fare. La prima è assolutamente non pagare: chi paga non fa altro che confermare ai truffatori che è vulnerabile e quindi si espone al rischio che gli vengano chiesti altri soldi. Non ci si può fidare delle loro promesse di cancellare il video o non pubblicarlo: sono criminali, mentire è il loro mestiere.

La seconda è cercare di bloccare il video. Solitamente i ricattatori forniscono alla vittima un link a una copia della registrazione intima che è stata caricata da loro su Youtube senza renderla pubblica (può vederla solo chi ne conosce il link).

Se vi capita una situazione di questo genere, quando ricevete il link al video su Youtube contattate subito Youtube per chiedere di rimuoverlo e bloccare l’account dei ricattatori.

La procedura è questa:

1. Da computer, andate al video in questione e cliccate sui tre puntini in basso a destra sotto il video; da smartphone, nell’app di Youtube, fate partire il video, toccate lo schermo e poi cliccate sui tre puntini che compaiono.
2. Scegliete Segnala e poi la voce Contenuti di natura sessuale e poi l’opzione Contenuti che coinvolgono minorenni (se siete minorenni) oppure Altri contenuti di natura sessuale). Nella casella che compare, scrivete una breve descrizione, preferibilmente in inglese (qualcosa del tipo This is me in the video. I have been recorded against my will. This is sextortion). Assicuratevi di citare la parola sextortion. Infine cliccate su Segnala.
3. Inoltrate a Youtube un reclamo per violazione della privacy compilando questa pagina.
4. Usate anche questa pagina di richiesta di rimozione, usando la voce Privacy.
5. Aspettate con pazienza: il vostro video verrà esaminato e quasi sicuramente rimosso, dato che viola gravemente le norme di Youtube, come spiegato qui: “YouTube ha una politica di tolleranza zero nei confronti delle estorsioni e/o dei ricatti. Se qualcuno ha registrato un video a sfondo sessuale che ti vede protagonista e ne ha diffuso il link, segnala immediatamente i contenuti in questione affinché vengano rimossi e contatta le forze dell'ordine.”
6. Contattate le forze dell’ordine, se potete, fornendo in particolare il link al video, in modo che anche loro possano segnalarlo autorevolmente.

Potete tenere d’occhio lo stato e la cronologia delle vostre segnalazioni in questa pagina di Youtube, visibile solo a voi e spiegata in dettaglio qui. Maggiori informazioni sono nella pagina Indicazioni sulla privacy di YouTube.

Funziona? Non posso dare garanzie assolute, ma finora nei casi che ho gestito il video è stato sempre rimosso prontamente e la vittima non ha avuto altre conseguenze.

Ultimo aggiornamento: 2018/10/29 22:30.

Se ricevete un messaggio di un sedicente hacker che vi dice di conoscere la vostra password e ve lo dimostra mandandovela, non cascateci: è un bluff e fa parte di una nuova tecnica per raggirare gli utenti e convincerli a pagare un riscatto.

Il ricercatore di sicurezza Brian Krebs segnala infatti che è in circolazione una mail che inizia dicendo (in inglese) “So che questa è la tua password” e poi mostra una password che spesso è effettivamente una di quelle usate (attualmente o in passato) da chi riceve la mail.

Il messaggio continua dicendo che il mittente è un hacker che ha infettato il computer della vittima durante una visita a un sito pornografico, installando di nascosto un programma che ha acceso la webcam e ha registrato un video della vittima mentre guardava il sito in questione e ha scaricato un elenco degli amici e colleghi della vittima dai suoi account di mail e su Facebook.

Il sedicente hacker dice inoltre che se la vittima non paga un riscatto in bitcoin di varie migliaia di dollari, manderà il video a tutti i contatti. I dettagli tecnici che fornisce sono credibili e fanno paura: parlano di Remote Desktop e di keylogger. Il riscatto, dice il truffatore, va pagato entro 24 ore.

Che cosa fare se l’avete ricevuta

1. Se non usate più la password citata nel messaggio, o non l’avete mai usata, non correte nessun pericolo per questa tentata truffa. Cestinatela.
2. Se usate ancora la password citata, cambiatela subito in tutti i servizi nei quali la usate.
3. In ogni caso, non rispondete al messaggio: fareste solo il gioco del truffatore, che non ce l’ha specificamente con voi ma sta andando a casaccio, mandando la stessa mail a migliaia di persone.
4. Non pagate: se pagate, i truffatori capiranno che avete qualcosa da nascondere e vi chiederanno altri soldi.
5. Se la mail proviene (apparentemente) dal vostro stesso indirizzo di mail, non vuol dire che vi hanno violato la casella di mail. È semplicemente un trucchetto dei truffatori: infatti è facilissimo falsificare l’indirizzo del mittente di una mail.
6. Se volete cambiare le vostre password lo stesso, anche se il messaggio non conteneva una vostra password, fatelo pure: è uno scrupolo di prudenza in più che va benissimo.
7. Potete prevenire questo genere di trappola usando password diverse per ogni sito, cambiandole periodicamente e tenendo coperta la vostra webcam, oltre che evitando di visitare siti potenzialmente imbarazzanti.

Il testo completo della mail di ricatto

Questo è un campione della mail ricattatoria, mandatomi da una vittima (ho omesso i dettagli personali):

Da: [OMISSIS]
Data: 14 luglio 2018 20:16:38 CEST
A: [OMISSIS]
Oggetto: Re: [nome utente - password]

I will directly come to the point. I do know [OMISSIS] is your password. Most importantly, I am aware about your secret and I have evidence of this. You don't know me personally and no one employed me to check out you.

It is just your bad luck that I came across your misadventures. Well, I actually installed a malware on the adult vids (sex sites) and you visited this site to experience fun (you know what I mean). When you were busy watching video clips, your web browser started out functioning as a Rdp (Remote control desktop) with a keylogger which provided me access to your display as well as cam. Right after that, my software gathered all of your contacts from your messenger, fb, and mailbox.

After that I gave in more time than I should have into your life and created a two view video. 1st part displays the recording you were watching and next part displays the video from your web camera (its you doing dirty things).

Frankly, I am ready to forget everything about you and let you get on with your daily life. And my goal is to present you two options which will accomplish that. The above option is with the idea to ignore this letter, or simply pay me $ 2900. Let us understand these 2 options in more detail.

Option 1 is to ignore this mail. You should know what will happen if you take this path. I will send out your video to all your contacts including close relatives, colleagues, and so on. It does not help you avoid the humiliation your household will need to face when friends learn your sordid details from me.

Other Option is to send me $ 2900. We’ll name it my “privacy fee”. Now let me tell you what happens if you choose this path. Your secret remains your secret. I will destroy the recording immediately. You keep your daily life like nothing ever happened.

At this point you must be thinking, “I will complain to the police”. Let me tell you, I've covered my steps to ensure this email can't be traced to me and it will not stay away from the evidence from destroying your life. I am not planning to steal all your savings. I just want to get paid for my efforts I put in investigating you. Let's hope you decide to produce all of this vanish entirely and pay me my confidentiality fee. You'll make the payment via Bitcoins (if you don't know how, type "how to buy bitcoins" in search engine)

Amount to be sent: $ 2900
Receiving Bitcoin Address: 1KBVnnJCPMDai81kMq2sUMFPKejAo7svE9
(It is cASe sensitive, so copy and paste it carefully)

Tell no one what you will be sending the bitcoin for or they possibly will not provide it to you. The task to obtain bitcoin can take a few days so do not procrastinate.

I've a special pixel in this e mail, and right now I know that you have read this email message. You have 2 days in order to make the payment. If I don't receive the BitCoin, I will definitely send your video recording to all your contacts including close relatives, colleagues, and so forth. You better come up with an excuse for friends and family before they find out. Nonetheless, if I do get paid, I will erase the video immediately. It's a non negotiable offer, so please don't waste my time & yours. Your time has started.

Lo schema è insomma abbastanza classico, ma c’è quel dettaglio dannatamente credibile e impressionante: come fa il truffatore a sapere la password della vittima? La spiegazione più probabile è che chi sta dietro questa estorsione si sia procurato uno dei tanti archivi di account rubati, contenenti il nome utente (che spesso è l’indirizzo di mail) e la relativa password, e poi li usi per un bluff, sapendo che la maggior parte degli utenti usa la stessa password dappertutto e non la cambia quasi mai o addirittura non ricorda la propria password.

2018/07/15 9:20

È domenica mattina e ho finito poco fa di aiutare una delle tante vittime di questa truffa. Era in lacrime dalla paura: la polizia non la può aiutare e, come capita spesso, aveva in effetti visitato un sito pornografico e non ricordava le proprie password, per cui il bluff dei truffatori le è sembrato molto credibile.

Chi è del mestiere liquida questi tentativi di truffa come banalità, ma non bisogna dimenticare che ci sono tanti utenti non esperti e che i truffatori prendono di mira proprio loro. Sono bastardi senza cuore.

2018/07/15 15:40

Su Twitter ho ricevuto vari commenti perplessi e increduli all’idea che visitare un sito pornografico al giorno d’oggi possa essere fonte di scandalo e imbarazzo al punto di portare una persona alle lacrime o in generale a pagare un riscatto di fronte a una minaccia come questa. Sottolineo che il bluff non minaccia semplicemente di rivelare agli amici, ai colleghi e ai familiari che la vittima ha visitato un sito pornografico, ma anche di indicare dettagliatamente il tipo di pornografia e soprattutto di mostrare una ripresa della vittima mentre ne fruisce.

Se vi sentite immuni, provate a immaginare come vi sentireste di fronte a uno che dice che vi ha ripreso mentre guardavate un video di pornografia estrema e intende mandarlo a vostra madre, al vostro partner e ai vostri colleghi sul posto di lavoro. Buona fortuna.