NUOVA CAMPAGNA DI CYBER-ESTORSIONE, QUANDO
IL CRIMINALE CONOSCE LA TUA PASSWORD
Qualche giorno fa avevamo intercettato la notizia sui blog esteri e sembrava trattarsi di una notizia di spam classica, la ricezione di e-mail con richiesta di denaro, email di quelle che un utente formato, esperto o chi è
del mestiere avrebbe cestinato nel giro di pochi secondi, senza porsi alcun problema. Ma soprattutto appariva come un problema circoscritto sia come luogo (estero) sia come numero di casi.
Con il passare dei giorni però è venuta alla luce la reale novità di questo tipo di attacco e la sua grande diffusione, tanto che moltissimi casi ci sono stati e ci saranno anche in Italia, tanto nel settore pubblico quanto in quello privato, questa campagna risulta ancora in corso infatti. Ci sembra opportuno pertanto mettere in guardia quanti più utenti possibile rispetto a questa nuova campagna di cyber-estorsione.
LA MINACCIA
Riceviamo un’email, di solito scritta in inglese, da un criminale che potrebbe essere diverso da caso a caso, il quale scrive di conoscere la password del nostro account email e la riporta in chiaro sul testo della email o nell’oggetto della stessa. Afferma poi di aver installato un software malevolo sulla nostra macchina grazie al quale ci ha spiato e ha registrato le nostre attività mentre visitavamo siti con contenuto pornografico riprendendoci anche attraverso la webcam (da qui il fatto che alcune fonti lo classificano come fenomeno di Sex Extortion). Conclude minacciandoci di pagare una determinata cifra in Bitcoin per evitare così che divulghi tale informazioni a tutti i nostri contatti e quindi anche ai nostri parenti e amici.
Esempio di email ricevuta dagli utenti (fonte www.cert-pa.it)
LA NOVITA’
L’aspetto nuovo risiede nell’indicazione della password. Questa quasi sempre corrisponde ad una password reale attuale o posseduta del nostro indirizzo di posta elettronica. Allora c’è da domandarsi, ma come fa il criminale a conoscere la password del nostro account di posta?
Sembra, a seguito di verifiche effettuate dal CERT (Computer Emergency Response Team) della Pubblica Amministrazione, che ha nella giornata di ieri emesso un aggiornamento alla sua notizia pubblicata il giorno prima, che gli account compromessi fossero compresi tra i 562 milioni di email e password rubati durante le varie violazioni avvenute nel tempo ai danni di grossi vendor (Adobe, Dropbox, Linkedin. Yahoo e molti altri) e confluite tutte nel database chiamato “Anti Public Combo List”.
Aggiungiamo che anche altre sono le credenziali email che possono essere finite e finiranno nelle mani di cyber criminali. E questo attraverso altri Data Breach, eventuali Malware presenti sulle macchine, Botnet, etc. …
IL DOPPIO PROBLEMA
Un utente che riceve questo tipo di email deve porre l’attenzione su due aspetti.
Non basta infatti chiedersi cosa fare ora che si è ricevuta questa email.
Occorre invece, a nostro avviso, cercare di capire esattamente come sono finite le credenziali del nostro account email in mano al criminale. Certo, un respiro di sollievo si tirerà nel momento in cui la password che ha il criminale non corrisponda alla nostra password attuale. E se così non fosse? Se fosse la nostra attuale? Bè intanto cambiarla immediatamente, il resto lo scriviamo più in basso.
Qui ci importa riflettere su come siano finite le credenziali in mano al criminale. Attuali o passate che siano! Perché scoprirlo significherebbe capire se dobbiamo migliorare qualcosa nella nostra gestione della Sicurezza. La password rientra tra quelle rubate per attacchi a siti di cui mi fidavo? Era semplice e banale o era robusta? E’ una password attuale e non riesco a trovare eventi passati che potrebbero averla diffusa, quindi potrei avere un malware? Queste sono solo una parte delle domande da porsi. Le cui risposte aiuteranno a capire se forse dobbiamo fare un po’ di attenzione in più su qualche aspetto di sicurezza per evitare che ciò avvenga di nuovo.
Esistono vari siti e documenti in internet (soprattutto nel Dark Web) che contengono milioni di password e che permetterebbero di capire se una nostra password fosse finita in tali archivi, e quindi non fosse più sicura, perché tali archivi sono ormai utilizzati quotidianamente dai criminali per gli attacchi brute-force.
Ma soprattutto esiste un sito, “Have I been pwned?” che permette di controllare se un account email è stato compromesso in un Data Breach e la cosa interessante è che indica (anche se non sempre con esattezza), quando ciò è avvenuto e in quale evento. Il database di “Have I been pwned”, come riporta lo stesso sito, contiene circa 5 miliardi di account compromessi. Quindi nel caso il criminale disponesse di una password del nostro account, la prima cosa da fare è verificare in questo sito se riusciamo a sapere qualche dato in proposito.
COSA FARE
Come indicato anche dalla Polizia delle Comunicazioni e pubblicato sul sito del Commissariato di P.S. online, che categorizza questa “Allerta Hacking” con un livello ALTO, le cose da fare sono le seguenti:
- Intanto stare tranquilli, quanto indicato dal criminale nel testo della email E’ FALSO! L’unica cosa reale potrebbe essere la password (di solito una vecchia) della vostra email. L’intento del criminale in questa forma di attacchi è spaventare l’utente e riuscire così ad estorcergli denaro.
- Non pagare assolutamente il riscatto. Questa è una regola generale. MAI PAGARE! Come indica la Polizia infatti, dalla propria esperienza, pagare il riscatto porterebbe solo a far accanire il criminale che potrebbe continuare a chiederci altri soldi.
- Cambiare la password. Consigliamo di cambiarla comunque anche se quella conosciuta dal criminale è una password vecchia. Approfittare per aumentarne la complessità e l’originalità. Non utilizzare una password per più account, ricordiamo ogni account deve avere una propria e complessa password. Proteggiamo la password conservandola in luoghi sicuri.
- Utilizzare, dove possibile, la doppia autenticazione. Ormai tutti i Social prevedono questo, e anche gran parte dei provider e dei portali web di servizi delicati (es home banking, …). Spetta all’utente abilitare questa funzione.
- Attuare sempre le Best Practices di Sicurezza. Non lasciare i dispositivi incustoditi se prima non si sono bloccati con password, proteggere con cifratura quelli portatili, aggiornare tutti i sistemi operativi e dotarli di anti-malware, e così via.
Per segnalare o denunciare Reati informatici ricordiamo che potete rivolgervi al Commissariato di P.S. Online, utilissimo anche per trovare notizie ed approfondimenti sulla Sicurezza degli Utenti del Web.
