Oh my God!
In questi giorni diversi utenti mi segnalano di aver ricevuto una email dove nell'oggetto e evidenziata la propria password seguita da una richiesta di riscatto in bitcoin. L'autore del messaggio, in lingua inglese continua, informando il malcapitato che, oltre ad essere in possesso della sua password ha anche ottenuto l'accesso al computer e che ha spiato il malcapitato per tanto tempo, creando dei video tramite la webcam e registrando i siti visitati, in modo particolare quelli di pornografia.
Come fa ad avere la mia password?
Come avrete notato la password è corretta, probabilmente anche attuale, oppure è una vecchia password utilizzata in passato. Esistono su web degli archivi che contengono milioni di password, rubate nel tempo a colossi informatici, come DropBox, LinedIn, solo per citare i più grandi.
Di solito, utilizziamo la stessa password per account diversi, inutile dire che è un grave errore, ma siamo fatti così, non la ricordiamo e così infiliamo la stessa password da qualsiasi parte e per qualsiari richiesta di credenziali.
Ovviamente la prima cosa da fare, se la password indicata è ancora quella attuale, è di cambiarla subito.
Questo sito Have I Been Pwned vi permette di verificare se le credenziali sono inserite in un elenco di password rubate, indicando l'indirizzo email della mail sulla quale avete ricevuto la richiesta di riscatto.
Ma veramente ha un mio video?
Il delinquente aggiunge di aver ripreso sia il video con contenuti pornografici sia noi mentre eravamo in procinto di guardarlo, attivando a nostra insaputa la webcam del PC. Inoltra afferma di avere acquisito, tramite keylogger e remote desktop, tutti i dati inclusi i contatti di Facebook e posta elettronica, e quindi il malintenzionato ci minaccia: "ci vuole poco a diffondere il video, a meno che non versi un riscatto con importo variabile da email ad email, richiesto in bitcoin verso un indirizzo BTC indicato nell’email.
Il testo precisa che si ha soltanto 24 ore di tempo per pagare da quando viene letto il messaggio e che l’autore, grazie a un pixel inserito nel messaggio, saprà esattamente quando avremo letto la sua richiesta. In mancanza di pagamento, il delinquente divulgherà il filmato ai nostri contatti, se invece verrà versato il riscatto, il video sarà cancellato immediatamente, ma chi ci crede?, possiamo stare tranqulli?
Interessante il metodo per avere prova dell'esistenza del messaggio, se si risponde SI alla email, il video verrà inviato ad un numero di contatti, anche in questo caso il numero è diverso ogni volta, badate bene che non viene inviato a noi, che strano!
Traquilli il video non esiste, tra l'altro il messaggio è stato inviato a contatti che non hanno la webcam.
Hanno davvero il filmato della mia webcam?
No! c'è poi da chiedersi se hai una webcam, fanno finta di averlo nella speranza che la vittima paghi, diciamoci la verità, magari qualche video pornografico l’hai guardato, e incutendo la paura, giocano e fanno leva su questo.
In parole povere, ma molto povere, è un inganno, tutto qua!
Nel dubbio, pago?
Nel caso del ricatto con la mail contenente la nostra password, pagare il riscatto non serve proprio a nulla, dato che il ricattatore non ha i nostri dati. Ci sono poi casi di sextortion nei quali pagando il riscatto si è avviato un meccanismo impossibile da interrompere, fatto di continue richieste di versamento, in genere tramite western union, molto più raramente in bitcoin.
Cercando in rete si trovano riferimenti all’indirizzo bitcoin1JVWQoQ5BbJrGfoutGRAfCrpRmbrAgWo9F sul quale alle vittime viene richiesto il pagamento del riscatto, indirizzo tra l’altro che effettivamente ha ricevuto del denaro. Altre segnalazioni mostrano indirizzi diversi, mai utilizzati, non è quindi chiaro se i delinquenti utilizzino un insieme d’indirizzi da ruotare tra le vittime, oppure ci siano più organizzazioni criminali a fare uso di questo sistema di estorsione, ognuna con un indirizzo BTC diverso.
Come devo comportarmi in futuro?
Innanzitutto non usare mai la stessa password su più di un servizio. Usarne una per Facebook, una per la posta elettronica, una per Twitter, una per Linkedin e così via. Cambiarle ogni tanto ma soprattutto quando escono dei leak che coinvolgono servizi dove ci siamo registrati.
Per rimanere aggiornati sui leak di password, ci si può iscrivere al servizio Notify Me di HaveIBeenPwned che ci permetterà di ricevere gratuitamente una mail non appena usciranno degli elenchi di password dove è presente anche il nostro indirizzo di posta elettronica.
In secondo luogo, impostare sempre i servizi dove siamo registrati con la protezione di sicurezza chiamata “autenticazione a due fattori”, che fa sì che per accedere al nostro account da un nuovo PC sia necessario inserire non solo la password ma anche un codice che riceveremo sul nostro numero di telefono o visualizzeremo sul nostro smartphone.
In ultimo, per quanto possa sembrare una leggenda metropolitana, male non fa coprire la webcam quando non la si usa: non tutti i notebook o PC hanno il led che ci segnala l’attivazione della webcam e sembra che comunque anche quello sia ingannabile.