La cosiddetta "Sextorion" è un fenomeno in costante crescita che fa appello al timore del destinatario di essere diffamato, facendo leva su sue presunte “abitudini”, contando sul fatto che l'interessato desideri mantenerle riservate, a prescindere dalla veridicità delle affermazioni dell'autore del ricatto.
Cercando sul web una frase del testo della mail ricevuta (es. "Abbiamo installato un trojan di accesso remoto sul tuo dispositivo") si trovano numerose pubblicazioni al riguardo.
Spesso, le mail appaiono al destinatario come inviate dal suo stesso indirizzo ma non sono veramente partite da server dell'indirizzo del mittente (es. il server aziendale) ma da servers mal protetti la cui sicurezza è stata violata per effettuare un mass-mailing “a strascico”, pescando probabilmente da indirizzi email pubblicati su pagine di siti web e raccolti mediante “robot” software che scansionano i siti pubblici o da spyware che, infettando i pc di ignari corrispondenti dell'interessato, hanno sottratto gli indirizzi nella sua rubrica.
Gli autori contano sul fatto che su qualche milione di messaggi, qualcuno che paga il riscatto lo trovano.
Tracciando il portafoglio bitcoin (wallet) su cui è richiesto il riscatto è possibile trovare qualche transazione di chi ha "abboccato" all'esca.
Gli indirizzi IP dei server mittenti (prevalentemente basati in Africa, Est-Europa, Centro-Sud America, Asia, ecc.) finiscono in poco tempo nelle blacklists dei sistemi di protezione più diffusi e le relative mail saranno progressivamente automaticamente rigettate dal server di posta. I messaggi effettivamente recapitati sono una minima parte di quelli inviati e già dalle prime fasi della diffusione della minaccia i migliori sistemi di protezione anti-spam dei server di posta li contrassegnano come "SPAM", assegnando ad essi un elevato punteggio per scarsa attendibilità.
Frequentemente la minaccia non è neanche particolarmente sofisticata ed il messaggio può essere tranquillamente cancellato, senza temere conseguenze.
In casi più "elaborati" può capitare che il destinatario si veda recapitare la propria password in chiaro, come "presunta prova" dell'attendibilità della minaccia.
Tale password è stata effettivamente sottratta da qualche servizio pubblico online (posta, servizi cloud, blogs, piattaforme gaming, ecc. ) che in anni passati è stato violato, oppure da sevizi il cui accesso web da parte dell'utente non è crittografato (https).
Elenchi di indirizzi email e password sono in vendita sul "dark web", ovviamente pagabili in bitcoin o altre criptovalute.
Tali casi sono anch’essi presumibilmente truffe per le quali e gli autori non detengono realmente ciò che affermano.
Per prevenire accessi indebiti è tuttavia opportuno cambiare la password su tutti quei servizi su cui è stata usata in combinazione con l'indirizzo email obiettivo dell'estorsione.
Una sana abitudine è comunque quella di non registrarsi mai con stessi id e password su più servizi online (es. posta web, blogs, social networks, ecc.) e cambiare periodicamente la password.
Anche in caso di effettiva sottrazione di informazioni compromettenti, in nessun caso il pagamento del riscatto garantisce la soluzione al problema, anzi rende il pagatore più esposto ad ulteriori ricatti ed alimenta il "business".
Riferimenti:
Verifica transazioni portafoglio Bitcoin (inserire il codice "SHA hash" riportato nella mail)