I cybercriminali sono creativi e opportunisti. Alcuni dei maggiori eventi a livello globale sono stati in passato il pretesto per azioni di spam e phishing. Truffatori internazionali raccontano di eredità multimilionarie per frodare gli utenti più ingenui o meno consapevoli dei rischi di Internet. Aggiungiamo qualche informazione personale e finti ricatti e il risultato sarà una delle più imponenti campagne recenti di phishing.
La minaccia del mese
In questo numero della rubrica Threat Spotlight, gli esperti di Barracuda analizzano “Sextorsion”, uno scam in cui i truffatori utilizzano password rubate in precedenti attacchi per spingere gli utenti a pagare una certa somma in bitcoin per evitare la diffusione a tutti i loro contatti di video compromettenti che essi affermano di avere registrato usando il computer della vittima.
I dettagli
Agli utenti di lingua inglese la mail si presenterà probabilmente con un oggetto composto di una sola parola. Non una parola qualsiasi, ma qualcosa di molto familiare: una delle sue password. Alcuni messaggi possono anche contenere la frase “La tua password è” con la password a seguire. Comunque sia, l’obiettivo è sempre far capire immediatamente all’utente che potrebbe essere stato hackerato. La mail, scritta in linguaggio approssimativo, prosegue dicendo che il computer è stato infettato con un Remote Access Trojan (che nel messaggio viene definito Remote Desktop) da un sito porno e che sono stati registrati dei video dell’utente mentre osserva video espliciti. La mail prosegue dicendo che il Remote Desktop ha raccolto tutti i contatti dalla posta elettronica e dagli account social del malcapitato e che i video dell’utente saranno inviati a tutti i suoi contatti, a meno che egli non paghi una certa somma (naturalmente in bitcoin). Sono stati rilevati anche casi in cui i truffatori hanno scritto alla stessa email più volte per spaventare l’utente, un approccio che probabilmente viene seguito con molte delle vittime.
La buona notizia è che non esiste alcun video né contatti a cui spedirli. Il truffatore non ha una password legittima, ma probabilmente presa dall’AntiPublic Combo List (una lista di oltre 500 milioni di password ottenute nel corso di vari attacchi e resa pubblica nel 2016), o grazie a malware presente sul pc dell’utente. Per quanto i Remote Access Trojan siano piuttosto comuni di questi tempi, in questo caso particolare il computer dell’utente non è stato infettato. Che abbia visitato o meno siti pornografici, è una cosa che solo lui conosce, ma poiché queste email sono inviate soprattutto a email aziendali è improbabile che ciò sia avvenuto dal pc dell’ufficio.
Scopo della Sextorsion
Questa campagna di Sextortion è partita a luglio ma è ancora in corso. I Barracuda Labs hanno esaminato più di 1.000 esemplari di questa minaccia in pochi giorni e da settembre hanno individuato circa 24.000 email che usano lo stesso set di mittenti dei campioni esaminati, un buon indicatore del volume dell’attacco. I campioni esaminati provenivano da clienti che li hanno girati manualmente, è quindi verosimile ne esistano molti di più di cui non è stata data notizia.
L’attacco è stato sferrato in diverse altre lingue, senza però che fosse mostrata la password nell’oggetto o che la password stessa fosse nota al truffatore (sembra che le campagne in lingue diverse dall’inglese abbiano usato liste spam e non liste di password). Nei campioni esaminati, i paesi coinvolti erano Australia, Belgio, Canada, Cina, Repubblica Ceca, Spagna, Guatemala, Ungheria, Irlanda, Islanda, Giappone, Sri Lanka, Olanda, Regno Unito e Stati Uniti.
Sui circa 1.000 wallet Bitcoin controllati dai truffatori, sono stati fatti solo 4 versamenti. Ma con richieste di denaro variabili tra 1.000 e 7.000 dollari, è facile capire perché questa campagna sia così popolare, soprattutto considerando che lo sforzo non è così alto. Ai cybercriminali è sufficiente spedire email a liste pubblicamente disponibili. E’ anche possibile che l’attacco sia stato più efficace nelle prime fasi, prima della pubblicazione di articoli che confermavano trattarsi solo di un tentativo di truffa.
Le tattiche di una campagna efficace
Indipendentemente dalla reale efficacia della campagna, la Sextorsion impiega diverse tattiche che dovrebbero contribuire e renderla efficace. Presentare qualcosa che dovrebbe essere segreto (ad esempio la password) non solo genera qualche timore ma può portare la vittima a pensare che anche altre informazioni che dovrebbero essere segrete (ad esempio le abitudini di navigazione) siano fondate. La contraddizione tra la popolarità del porno online e il fatto che in molte aree sia un tabu, contribuisce ad aumentare la probabilità di successo della campagna.
Ciò che rende l’attacco riconoscibile è in realtà la sintassi malferma (che è spesso un indizio di phishing), l’età delle liste di password utilizzate (è probabile quindi che la password non sia più in uso) e la scommessa sul fatto che l’utente abbia in effetti visitato recentemente un sito porno.
Come proteggersi
Per quanto l’utente possa proteggersi da questo particolare attacco semplicemente ignorandolo, ecco alcuni utili suggerimenti:
Controllare periodicamente che indirizzi email e password non siano stati coinvolti in episodi di violazione e, quando succede, modificare le password. Il controllo può essere fatto facilmente su siti come haveibeenpwned.com.
Creare password complesse che siano lunghe, non prevedibili e contengano caratteri maiuscoli e minuscoli, numeri e caratteri speciali è un passo importante per rimanere sicuri. In base agli esemplari analizzati, molte delle password sottratte erano estremamente deboli.
Utilizzare un gestore di password che aiuti a generare e custodire password complesse. Alcuni prevedono anche degli avvisi nel caso in cui sospettino che una delle password sia stata violata così da poterla modificare istantaneamente.
Programmare controlli periodici della sicurezza IT. Controllare regolarmente la complessità della password, che i backup funzionino e che tutti i sistemi siano aggiornati è sempre una buona abitudine. Riservate del tempo nella vostra agenda per queste operazioni.
Mantenere aggiornati browser e sistemi operativi e prestare attenzione agli allegati e ai link delle email aiuta a prevenire il contagio da computer infetti. Per quanto in questo caso i truffatori non infettino alcun computer con malware, i Random Access Trojan sono molto diffusi ed è bene non abbassare mai la guardia, mantenendo aggiornati browser e sistemi operativi al fine di prevenire l’infezione da questi e altri malware.
Mantenersi informati. Leggere i Threat Spotlight di Barracuda, è un buon modo per conoscere meglio le minacce veicolate dalle mail e sapere come evitarle.
Coprire o disabilitare la webcam del pc. In questo caso si tratta di scam e non c’è alcun video, ma se un messaggio di questo tenore vi preoccupa, allora vale la pena di adottare questa contromisura per proteggere la privacy.
Non rispondere e non spaventarsi. Una ricerca sul web delle frasi più significative permette di verificare se c’è un attacco in corso o acquisire consapevolezza dell’attacco. Prestate sempre estrema attenzione ai dettagli e non date per scontato che una password rubata significhi automaticamente la compromissione del pc. Chiedete all’ISP o al supporto tecnico se avete dubbi.