I cybercriminali sono creativi e opportunisti. Alcuni dei maggiori eventi a livello globale sono stati in passato il pretesto per azioni di spam e phishing. Truffatori internazionali raccontano di eredità multimilionarie per frodare gli utenti più ingenui o meno consapevoli dei rischi di Internet. Aggiungiamo qualche informazione personale e finti ricatti e il risultato sarà una delle più imponenti campagne recenti di phishing.
La minaccia del mese
Nella rubrica Threat Spotlight, gli esperti di Barracuda analizzano Sextorsion, uno scam in cui i truffatori utilizzano password rubate in precedenti attacchi per spingere gli utenti a pagare una certa somma in bitcoin per evitare la diffusione a tutti i loro contatti di video compromettenti che essi affermano di avere registrato usando il computer della vittima.
I dettagli
Agli utenti di lingua inglese la mail si presenterà probabilmente con un oggetto composto di una sola parola. Non una parola qualsiasi, ma qualcosa di molto familiare: una delle sue password. Alcuni messaggi possono anche contenere la frase “La tua password è” con la password a seguire. Comunque sia, l’obiettivo è sempre far capire immediatamente all’utente che potrebbe essere stato hackerato. La mail, scritta in linguaggio approssimativo, prosegue dicendo che il computer è stato infettato con un Remote Access Trojan (che nel messaggio viene definito Remote Desktop) da un sito porno e che sono stati registrati dei video dell’utente mentre osserva video espliciti. La mail prosegue dicendo che il Remote Desktop ha raccolto tutti i contatti dalla posta elettronica e dagli account social del malcapitato e che i video dell’utente saranno inviati a tutti i suoi contatti, a meno che egli non paghi una certa somma (naturalmente in bitcoin). Sono stati rilevati anche casi in cui i truffatori hanno scritto alla stessa email più volte per spaventare l’utente, un approccio che probabilmente viene seguito con molte delle vittime.
La buona notizia è che non esiste alcun video né contatti a cui spedirli. Il truffatore non ha una password legittima, ma probabilmente presa dall’AntiPublic Combo List (una lista di oltre 500 milioni di password ottenute nel corso di vari attacchi e resa pubblica nel 2016), o grazie a malware presente sul pc dell’utente. Per quanto i Remote Access Trojan siano piuttosto comuni di questi tempi, in questo caso particolare il computer dell’utente non è stato infettato. Che abbia visitato o meno siti pornografici, è una cosa che solo lui conosce, ma poiché queste email sono inviate soprattutto a email aziendali è improbabile che ciò sia avvenuto dal pc dell’ufficio.
Scopo della Sextorsion
Questa campagna di Sextortion è partita a luglio ma è ancora in corso. I Barracuda Labs hanno esaminato più di 1.000 esemplari di questa minaccia in pochi giorni e da settembre hanno individuato circa 24.000 email che usano lo stesso set di mittenti dei campioni esaminati, un buon indicatore del volume dell’attacco. I campioni esaminati provenivano da clienti che li hanno girati manualmente, è quindi verosimile ne esistano molti di più di cui non è stata data notizia.
L’attacco è stato sferrato in diverse altre lingue, senza però che fosse mostrata la password nell’oggetto o che la password stessa fosse nota al truffatore (sembra che le campagne in lingue diverse dall’inglese abbiano usato liste spam e non liste di password). Nei campioni esaminati, i paesi coinvolti erano Australia, Belgio, Canada, Cina, Repubblica Ceca, Spagna, Guatemala, Ungheria, Irlanda, Islanda, Giappone, Sri Lanka, Olanda, Regno Unito e Stati Uniti.
Sui circa 1.000 wallet Bitcoin controllati dai truffatori, sono stati fatti solo 4 versamenti. Ma con richieste di denaro variabili tra 1.000 e 7.000 dollari, è facile capire perché questa campagna sia così popolare, soprattutto considerando che lo sforzo non è così alto. Ai cybercriminali è sufficiente spedire email a liste pubblicamente disponibili. E’ anche possibile che l’attacco sia stato più efficace nelle prime fasi, prima della pubblicazione di articoli che confermavano trattarsi solo di un tentativo di truffa.
Le tattiche di una campagna efficace
Indipendentemente dalla reale efficacia della campagna, la Sextorsion impiega diverse tattiche che dovrebbero contribuire e renderla efficace. Presentare qualcosa che dovrebbe essere segreto (ad esempio la password) non solo genera qualche timore ma può portare la vittima a pensare che anche altre informazioni che dovrebbero essere segrete (ad esempio le abitudini di navigazione) siano fondate. La contraddizione tra la popolarità del porno online e il fatto che in molte aree sia un tabu, contribuisce ad aumentare la probabilità di successo della campagna.
Ciò che rende l’attacco riconoscibile è in realtà la sintassi malferma (che è spesso un indizio di phishing), l’età delle liste di password utilizzate (è probabile quindi che la password non sia più in uso) e la scommessa sul fatto che l’utente abbia in effetti visitato recentemente un sito porno.
Come proteggersi