ATTENZIONE: nuova campagna di phishing a scopo estorsivo
Pubblicato da Studio Nassisi® | Servizi Informatici in Alert · Lunedì 18 Mar 2019 · 4:45
È in corso in queste ore una massiccia campagna di phishing che vede interessato, tra gli altri, anche il nostro Paese. Le modalità di attacco sono le stesse accertate a metà settembre 2018, quando fu registrato un fenomeno molto simile.
Anche in questa occasione, il criminale informatico sfrutta abilmente le tecniche più subdole di ingegneria sociale per indurre la potenziale vittima a pagare una somma di denaro in criptovaluta (non tracciabile) dietro la minaccia di veder pubblicati in rete alcuni video che la riprendono in atteggiamenti intimi.
Il tentativo di frode parte con una mail ricevuta dall'ignaro utente e che, solo apparentemente, risulta essere inviata dal suo stesso account di posta. L'hacker, nella mail in questione, fa notare immediatamente questo dettaglio, con lo scopo di scatenare nella potenziale vittima il panico che, come ho avuto modo di spiegare in vari articoli e conferenze, è una delle leve di ingegneria sociale più utilizzate dai criminali informatici.
Vi riporto di seguito lo screenshot della mail che anch'io ho ricevuto su uno degli indirizzi di posta del mio studio poco meno di due ore fa! Ho evidenziato le parti di testo più significative (ed efficaci).
Effettivamente, ad una prima analisi, il messaggio di posta risulta effettivamente inviato dallo stesso account destinatario e questo elemento viene sfruttato dall'hacker per "dimostrare" alla vittima che ha veramente il controllo della sua casella di posta.
Come se non bastasse, il pirata informatico afferma di avere anche il controllo completo del suo computer/dispositivo e che, da alcuni mesi monitora, tutte le sue attività online dell'utente. In particolare, afferma di essere in grado di dimostrare con un video "compromettente" le visite fatte su alcuni siti per adulti.
Nel tentativo di alimentare lo stato di ansia in cui la vittima si trova una volta lette le prime righe della mail, il criminale informatico si prende anche il "disturbo" di spiegargli come mai l'antivirus installato sul computer non è riuscito a bloccare il suo malware (d'altra parte "lui" è molto bravo e non commette errori)!
Nella seconda parte del messaggio, come potete notare, scatta la richiesta estorsiva vera e propria. Per non veder pubblicato in rete questo "materiale" ed evitarne l'invio a tutti i contatti dell'utente (che l'hacker conosce poiché sostiene di aver scaricato anche tutta la rubrica e l'archivio mail della vittima), il criminale informatico chiede il pagamento di una somma di denaro in bitcoin.
Altro elemento studiato ad hoc per generare panico e ansia nella potenziale vittima è il limitato periodo di tempo che viene "concesso" per effettuare il pagamento (solo 48 ore).
L'hacker prova a rincarare la dose affermando che qualsiasi tentativo di rintracciarlo sarà vano e, anzi, minaccia "ritorsioni" nel caso in cui la vittima decida di sporgere denuncia o condividere il messaggio con altri utenti.
Ebbene, per quanto ben progettata, questa mail è evidentemente l'ennesimo tentativo di frode messo in campo dai criminali informatici, costantemente a caccia di qualche utente del web inesperto o ingenuo. In realtà, nessuna casella di posta è stata hackerata ed il messaggio non proviene dal vostro account email. Chiaramente, non esiste alcun video che vi riprende intenti a visitare determinate categorie di siti.
Come spiegato più volte, l'indirizzo mittente è uno dei parametri più facili da falsificare in un messaggio email. Inoltre, sebbene tecnicamente possibile, prendere il controllo completo di un dispositivo informatico non è affatto semplice. Per farlo l'hacker deve avere accesso fisico al nostro computer o deve riuscire ad installare un malware sul nostro dispositivo attraverso massaggi di phishing confezionati ad hoc.
Inoltre, quand'anche un criminale informatico riuscisse a violare la nostra casella di posta elettronica, non avrebbe alcuna possibilità (solo per questo) di prendere il controllo anche del nostro dispositivo perché ciò non è tecnicamente possibile.
Chiunque si occupi seriamente di informatica e, soprattutto, di sicurezza informatica potrà confermarvelo. Questo però, di sicuro, non ci autorizza ad abbassare la guardia. Le campagne di phishing esistono e spesso portano a grandi "risultati" per il criminale informatico (diversamente non sarebbero così numerose e frequenti)!
Valgono sempre, pertanto, le mie solite raccomandazioni che mi permetto di sintetizzare:
- prestate sempre la massima attenzione quando navigate in rete e non dimenticate che un sistema informatico sicuro al 100%, semplicemente, non esiste.
- Proteggete adeguatamente la vostra privacy, cambiate periodicamente e custodite con cura le password dei vostri account;
- Utilizzate password lunghe e complesse;
- Prestate grande attenzione alla posta elettronica che rappresenta, in assoluto, il primo canale di infezione e diffusione di malware ed è un terreno fertilissimo per le campagne di phishing;
- Non cliccate mai sui link presenti all'interno di messaggi dubbi o provenienti da sconosciuti e non lasciatevi assalire dal panico se ricevete messaggi contenenti minacce o richieste di denaro, indipendentemente dal tenore allarmistico o intimidatorio che possono caratterizzarli.
Se ritenete di non essere in grado di valutare autonomamente l'effettiva veridicità di un messaggio rivolgetevi ad un esperto del settore che possa aiutarvi.
Se hai apprezzato questo articolo o ritieni che possa essere di interesse anche per i tuoi contatti condividilo sui tuoi canali social preferiti. A te non costa nulla e darai la possibilità anche ad altri di conoscere il mio lavoro. Grazie!