“Vai sui siti porno? Paga o i tuoi familiari lo sapranno”, ma è tutta una (web) truffa

Da settimane, migliaia di utenti residenti su tutto il territorio nazionale hanno ripreso a segnalare di aver ricevuto mail di chiaro carattere estorsivo, nelle quali l’anonimo autore afferma di essere in possesso di video compromettenti che ritraggono il destinatario della mail e minaccia di diffonderle ad amici e parenti se non otterrà entro una specifica data un congruo pagamento in bitcoin (moneta ‘virtuale’ diffusa in tutto il mondo). Nelle mail in oggetto non si specifica mai quale sia questo materiale compromettente, ma il riferimento a ‘siti per adulti’ è spesso più che sufficiente per convincere una buona parte dei destinatari delle mail a sottostare al ricatto.

In ogni caso, come già ricordato dalla Polizia Postale nei mesi scorsi, quando per la prima volta questo fenomeno criminale era emerso, si tratta di una vera e propria ‘bufala’. Un pretesto privo di ogni fondamento, elaborato per intimidire gli utenti e consumare così una vera e propria cyber-estorsione. L'unico elemento autentico dell'intera vicenda è rappresentato dall'utilizzo di una e-mail identica a quella del destinatario, che simula l'avvenuto accesso abusivo all'account del malcapitato, ma anche questa è una circostanza del tutto artificiosa. Si tratta infatti di un vero e proprio "spoofing", ossia di un'invenzione, che non è conseguenza di un vero e proprio attacco alla casella di posta del destinatario.

Conoscendo tali informazioni, è dunque più facile mettere in pratica i consigli della Polizia. Anzitutto mantenere la calma, poiché il criminale non dispone, in realtà, di alcun filmato che ci ritrae in atteggiamenti intimi né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di amici o parenti. Non si deve quindi pagare alcun riscatto: l'esperienza maturata dal personale della Polizia Postale con riguardo a precedenti fattispecie criminose (come sex-estortion e diffusione di ransomware) dimostra che, persino quando il criminale dispone realmente dei nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, finalizzato ad ottenere ulteriore denaro, senza che la vittima rientri in possesso del proprio materiale.

Inoltre, in via generale, per evitare spiacevoli inconvenienti, la Polizia Postale consiglia di:

• Proteggere adeguatamente la nostra email (ed in generale i nostri account virtuali)

• Cambiare frequentemente le password dei propri account web, a prescindere dalla notizia di un attacco, impostandone di complesse, evitando che contengano richiami, numeri e nomi relativi alla vita personale e familiare

• Non utilizzare mai la stessa password per più profili

• Abilitare, quando possibile, meccanismi di autenticazione "forte" ai nostri spazi virtuali, che associno all'inserimento della password, l'immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare.

• Aggiornare sempre il sistema operativo dei nostri dispositivi, installando e mantenendo adeguatamente aggiornati i sistemi antivirus.

“Bisogna tenere presente – specificano gli esperti della Polpost – che l'inoculazione (quella vera) di virus informatici capaci di assumere il controllo dei nostri dispositivi è un'attività assolutamente complessa, che deriva nella stragrande maggioranza dei casi da una precedente attività di ‘phishing informatico’ (altra tipologia di truffa web) o dalla disponibilità materiale del dispositivo, o ancora dalla navigazione su siti non attendibili. E buona norma, quindi, non lasciare mai i nostri dispositivi incustoditi e non protetti ed evitare di cliccare su link o allegati di posta elettronica sospetti. Oltre, ovviamente, a non navigare su siti che prospettino facili guadagni e che ci sembrino al contempo poco professionali”.