2755 Letture
Un'email truffaldina cerca di estorcere denaro rivelando le password degli utenti

Un'email truffaldina cerca di estorcere denaro rivelando le password degli utenti

La password utilizzata dall'utente, anche in passato, campeggia nell'oggetto del messaggio di posta. Un ottimo biglietto da visita per chiedere un riscatto in Bitcoin. Ecco come funziona la truffa.

La Polizia Postale ha lanciato l'allarme su una nuova forma di estorsione che sta prendendo piede in questi giorni anche in Italia. Nell'intervento pubblicato a questo indirizzo si spiega che "può capitare, in questi giorni, di ricevere una strana email, per lo più in lingua inglese, che reca nell'oggetto il nostro indirizzo di posta elettronica e la nostra password, attuale o passata".

L'email inizia con la minacciosa frase "I do know (...) is your password. Most importantly, I am aware about your secret and I have evidence of this" ovvero "So che questa è la tua password e, cosa più importante, sono al corrente del tuo segreto avendone le prove".

Un'email truffaldina cerca di estorcere denaro rivelando le password degli utenti

Il presunto aggressore remoto sostiene di aver sottratto una password dell'utente mentre questi stava visitando un sito pornografico e sostiene di essere in possesso della registrazione proveniente dalla webcam del sistema in uso mentre la vittima stava guardando tale contenuto.


Minacciando di pubblicare tutto online e di condividere il video acquisito con amici e parenti dell'utente, l'aggressore prova ad estorcere un riscatto in denaro (da versarsi in Bitcoin).

Diverse testate italiane si sono affrettate a parlare di "nuova minaccia" senza mettere in evidenza che si tratta di un "bluff". Brian Krebs ne aveva parlato qualche giorno fa invitando gli utenti a non preoccuparsi, almeno per ciò che riguarda il presunto video in mano ai criminali informatici.


L'email recapitata a centinaia di migliaia di utenti in tutto il mondo è infatti un ottimo esempio di ingegneria sociale: il fatto che nell'oggetto del messaggio compaia una password effettivamente utilizzata o usata in passato non deve sorprendere.
Essa non è stata raccolta su nessun dispositivo dell'utente ma è presente negli elenchi di credenziali sottratti in passato in incidenti che hanno coinvolto diversi provider e fornitori di servizi online.
Facile per gli spammer allestire un server SMTP che invii email a tutti gli account contenuti in una lista insieme con la password sottratta in un precedente incidente.

Conoscete Have I been pwned? Si tratta di un servizio web che informa gli utenti se qualche loro password, associata a specifici account, fosse caduta in mano di terzi durante un attacco informatico.
Have I been pwned raccoglie la lista completa degli account utente rastrellati dai criminali informatici durante le aggressioni sferrate nei confronti dei vari provider. Quando una società fornitrice di un servizio online subisce un attacco e vengono pubblicate le credenziali altrui, gli amministratori di Have I been pwned le raccolgono e le aggiungono nel database. I dati acquisiti non vengono ovviamente diffusi pubblicamente su Have I been pwned ma gli utenti di tutto il mondo possono interrogare il servizio per capire se le loro credenziali possano essere in mano ai criminali informatici (vedere ad esempio Online 711 milioni di credenziali di account e server SMTP).

Semmai il problema principale è se la password indicata nell'email truffaldina fosse ancora in uso. Ciò che è bene fare quindi è:

- Accertarsi che tale password non risultasse ancora in uso, su nessuno dei propri account.
- Verificare l'utilizzo di password sufficientemente lunghe e complesse.
- Non usare mai le stesse password su account diversi.
- Ove possibile, servirsi dei meccanismi di autenticazione a due fattori.


Maggiori informazioni nel nostro articolo Creare password sicura: oggi ricorre il World Password Day.

Un'email truffaldina cerca di estorcere denaro rivelando le password degli utenti