Truffe tramite e-Mail: Sextortion

Sextortion è la definizione anglosassone che deriva dall’unione tra le due parole sex e extortion.

Va da se che sex sappiamo un po’ tutti cosa significhi, ma vorrei precisare la definizione di estorsione: L’ottenimento di un ingiusto profitto mediante la violenza o la minaccia.

Recentemente, oltre alle solite mail tipiche delle truffe nigeriane, ha fatto capolino, tra i messaggi di posta, una nuova tipologia, molto infida e molto pericolosa. Queste email riportano nel soggetto un nome utente e una password che risultano estremamente verosimili al destinatario della mail.

Chiariamo subito che questi dati sono facilmente reperibili sul dark web e su siti specializzati, perchè provenienti da data breach di banche dati di servizi esistenti. Tra i casi più eclatanti, ricordiamo Linkedin nel 2016, MySpace qualche anno prima, Adobe, ma anche altri.

Di conseguenza, le password mostrate nella email minatoria, saranno vecchie di almeno due anni (nel caso di LinkedIn) e, quasi sempre inefficaci perchè un utente accorto, dovrebbe (dovrebbe!) cambiare password a intervalli regolari evitando di usare la stessa password su differenti siti e sistemi di accesso.

Inserendo il proprio indirizzo e-mail in siti come  HaveIBeenPwned.com oppure BreachAlarm è possibile, in linea di massima, sapere se il proprio indirizzo fa parte di qualche data breach e, di conseguenza, che le password siano state violate.

Il messaggio arrivato

Nel caso in esame, la mail proveniva da un indirizzo ip della zona di Seul in Corea del Sud (40.92.254.62), da un account free microsoft (Rickey Joshi, porfiriotnnograbbe@outlook.com) e minacciava che, se non fosse stata pagata una somma in bitcoin (1100$), costui avrebbe divulgato a tutti i contatti della vittima, delle fantomatiche immagini e video compromettenti della vittima, ottenute prendendo il controllo della webcam e del microfono durante la fruizione di contenuti pornografici.

Il testo esatto della mail è il seguente, che vale la pena leggere:

xxxxxxxx is your password. Let me get straight to the point. You don’t know me personally and no one paid me to examine you

It’s just your misfortune that I came across your misdemeanor. In fact, I actually placed malware on porn videos (adult porn) and you accessed this hacked web site to have pleasure (know what I mean?). When you were busy watching videos, your internet browser initiated operating as a RDP (Remote Desktop Protocol) having a key logger which allowed me accessibility to your screen and web camera. Just after that, the software collected all your images, data and contacts from your facebook, and mailbox.

I then invested in much more hours than I should’ve looking into your data and made a double display video. First part shows the video you had been viewing and second part displays the view of your web camera (its you doing naughty things).

As a family man, I’m ready to forget details about you and let you get on with your regular life. And I am about to provide you (a way out|two options} which will achieve it. These two alternatives are to either disregard this message (Bad for you and your family), or perhaps pay me $ 1100. Let’s understand above 2 options in more detail.

Not recommended Option One is to turn a deaf ear this mail. You should know what is going to happen if you choose this path. I will definately send out your video to your entire contacts including members of your family, colleagues, and so forth. It doesn’t protect you from the humiliation your family will have to feel when relatives and buddies discover your unpleasant details.
Safe Wise choise is to pay me $ 1100. We’ll name it my “keep the secret charges”. Lets discuss what happens when you opt this choice. Your little secret Will remain your secret. I’ll keep my mouth shut. After you you pay me my fees, You can freely move on with your life and family that nothing ever occurred.

Let’s hope you have decided to make all of this vanish entirely and pay me my confidentiality fee. You will make the payment via Bitcoins (if you do not know how, type “how to buy bitcoins” in google)
Receiving Bitcoin Address: 1FFdJUDQhxCyPhUcPLFEqbEdxEUbNi87QB
Required Amount: $ 1100

I understand that, now you must be thinking, “I’m going to report to the cops”. Let me tell you, I’ve covered my steps in order that this email can’t be tracked returning to me plus it won’t stay away from the evidence from destroying your health. I am not planning to break your bank. I just want to be compensated for the time I put into looking into you.

You must not explain nobody what you would be utilising the Bitcoins for or they will often not give it to you. The process to get bitcoin usually takes a couple of days so do not put it off.

I’ve a unique pixel within this email, and at this moment I know that you have read through this e mail. You now have one day in order to make the payment. If I do not get the BitCoins, I definitely will send your video recording to your entire contacts including close relatives, coworkers, and so forth. You better come up with an excuse for friends and family before they find out. However, if I do get paid, I will destroy the all the files immediately. It’s a non negotiable one time offer, so do not ruin my time.

Le minacce e gli inviti a non pubblicare la mail o ricorrere alle forze dell’ordine si sprecano e, in particolare, è una vera chicca, nell’ultimo paragrafo, la presenza dell”unique pixel” che darebbe all’autore della mail la possibilità di sapere che la vittima sta leggendo la mail stessa.

La particolarità che comunque ci ha spinto a pubblicare questo post è la presenza dell’indirizzo e-Mail della vittima, corredata con una password reale, anche se vecchia di anni, che da’ credibilità al messaggio e, di conseguenza, alle minacce, che potrebbero portare la vittima a pagare realmente il riscatto richiesto.

Operazione che non metterebbe la parola fine alla situazione, ma che anzi spingerebbe i truffatori a nuove richieste.

Come fare? Come ci si può proteggere?

Partiamo dal presupposto che tutto ciò non ha alcun fondo di verità e che si può tranquillamente ignorare questo tipo di messaggio. Questi messaggi sono inviati banalmente tramite degli script che pescano in un database. E’ semplicemente spam.

Le regole per proteggersi da queste truffe sono alla fine poche e basilari:

1. Cambiare password dei siti frequentati con cadenza regolare, magari sfruttando i meccanismi di doppia autenticazione
2. Attivare tutte le impostazioni privacy e sicurezza rese disponibili dai fornitori dei servizi (cifratura, TLS, SSL, etc.)
3. Evitare di utilizzare il proprio account e-mail principale o di lavoro per l’iscrizione a siti non attinenti
4. Evitare di utilizzare la stessa password su siti differenti
5. Evitare di cliccare su banner di qualsivoglia genere e, in generale, su link di cui non si conosce esattamente la provenienza
6. Evitare di aprire e-Mail strane, ad esempio con qualche link o loghi di banche e affini, oppure provenienti anche da mittenti conosciuti, sono sicuramente truffe
7. Evitare di fornire credenziali sensibili (tipo quelle bancarie o delle carte di credito) se non sicurissimi della richiesta