È riemersa una truffa via e-mail di lunga data nota come la bufala “Hello pervert”, che utilizza un linguaggio e un design aggiornati per spaventare le vittime e spingerle a pagare denaro. I ricercatori di sicurezza affermano che questa campagna di estorsione si diffonde attraverso la distribuzione di massa di e-mail e si basa interamente sulla manipolazione psicologica piuttosto che sull’hacking vero e proprio.
Le e-mail in genere arrivano nella casella di posta di una persona con un oggetto progettato per scioccare . L’e-mail afferma quindi che il mittente ha ottenuto l’accesso al computer o allo smartphone del destinatario e lo ha registrato utilizzando la sua webcam. Il presunto aggressore minaccia di inviare questo filmato ad amici, familiari o datori di lavoro a meno che non venga pagato un riscatto in criptovaluta entro un breve lasso di tempo.
Ciò che rende efficace la truffa è il suo aspetto di autenticità tecnica. Nella maggior parte dei casi, l’e-mail sembra essere stata inviata dall’indirizzo della vittima. Ciò si ottiene attraverso una semplice tecnica chiamata spoofing delle e-mail, in cui l’indirizzo del mittente viene falsificato per sembrare identico a quello del destinatario. L’effetto ha lo scopo di convincere l’obiettivo che il suo account è stato compromesso.
False affermazioni di infezione del dispositivo
Il corpo del messaggio di solito contiene affermazioni allarmanti e dal suono tecnico. Il truffatore può affermare di aver installato spyware o uno strumento di accesso remoto come Pegasus o njRAT sul computer della vittima. Sostengono che questo software ha permesso loro di registrare attività private attraverso la fotocamera, monitorare la cronologia di navigazione e acquisire sequenze di tasti o password.
Queste affermazioni sono completamente false. Non ci sono prove che i mittenti di questi messaggi abbiano un reale accesso ai dispositivi delle vittime. Lo stesso modello di messaggio viene inviato a migliaia di indirizzi e-mail contemporaneamente. Nulla nell’e-mail è specifico per il destinatario tranne, in alcuni casi, una password riutilizzata ottenuta da una vecchia violazione dei dati.
Questo piccolo dettaglio è ciò che spesso convince le persone a farsi prendere dal panico. L’inclusione di una vecchia password crea un falso senso di prova. Molte vittime vedono la password, presumono che si sia verificato un vero e proprio hack e temono immediatamente di essere smascherate. In realtà, queste password sono ampiamente disponibili attraverso database di violazioni pubbliche o fughe di dati sotterranee.
Sfruttare la paura e la vergogna
La truffa funziona perché prende di mira le emozioni umane, non la tecnologia. La paura dell’imbarazzo, della perdita di reputazione o del danno professionale può indurre individui altrimenti razionali ad agire rapidamente. Il linguaggio del truffatore è progettato per creare urgenza. Insistono sul fatto che la vittima deve pagare immediatamente o affrontare l’umiliazione, rafforzando il senso di isolamento che impedisce alle vittime di chiedere consiglio.
La riga dell’oggetto “Ciao pervertito” è intenzionale. Gioca sul senso di colpa e sulla vergogna, indipendentemente dal fatto che il destinatario abbia fatto qualcosa di compromettente. L’accusa in sé basta a generare il panico, che porta alcuni destinatari a pagare il riscatto richiesto proprio per evitare la possibilità di esporsi.
Nella maggior parte dei casi, la richiesta di riscatto è compresa tra diverse centinaia e diverse migliaia di dollari, pagati tramite criptovaluta. I messaggi spesso includono un indirizzo di portafoglio Bitcoin e un timer per il conto alla rovescia per aumentare lo stress. I truffatori raramente rispondono una volta inviato il denaro e non ci sono prove che esista una registrazione effettiva.
Perché la truffa continua a diffondersi
Nonostante sia una vecchia tattica, questa truffa continua a circolare perché l’invio non costa quasi nulla e produce ancora risultati. Le campagne e-mail di massa possono raggiungere milioni di utenti in un solo giorno. Anche se solo una piccola parte dei destinatari paga, gli aggressori realizzano un profitto.
La truffa si evolve anche nel tempo. Le versioni precedenti erano scritte male e piene di errori di ortografia. Le varianti recenti utilizzano una formattazione professionale, una grammatica più pulita e descrizioni tecniche più realistiche. Alcuni fanno persino riferimento a sistemi operativi o strumenti antivirus specifici per sembrare legittimi.
Un altro motivo della persistenza della truffa è la sua profondità psicologica. Le vittime raramente denunciano l’incidente perché si sentono in imbarazzo o credono di essere le uniche ad essere prese di mira. Questo silenzio consente ai truffatori di continuare a operare senza essere scoperti.
Riconoscere i segni delle e-mail di sextortion
Ci sono segni coerenti che un’e-mail fa parte di questa truffa. Gli indicatori più comuni includono:
- Il messaggio afferma di provenire dal tuo indirizzo e-mail.
- Inizia con una frase accusatoria come “Ciao pervertito” o “So cosa hai fatto”.
- Menziona spyware o accesso alla webcam senza offrire alcuna prova specifica.
- Richiede il pagamento in criptovaluta entro una breve scadenza.
- Include una vecchia password che potrebbe essere stata utilizzata anni prima.
- Non contiene dettagli identificativi oltre a quelli che potrebbero essere stati presi da una fuga di dati.
Comprendere questi tratti aiuta gli utenti a separare i fatti dalla paura. Se un’e-mail contiene questi elementi, si tratta quasi certamente di una bufala di massa, non di un hack mirato.
Come dovrebbero reagire le vittime
Il passo più importante è mantenere la calma ed evitare di interagire con il mittente. La risposta conferma che il tuo account email è attivo, il che potrebbe invitare a un ulteriore targeting. Le vittime non dovrebbero mai pagare il riscatto o tentare di negoziare. Il pagamento non garantisce che la minaccia si fermerà e potrebbe incoraggiare l’aggressore a tornare.
Successivamente, è consigliabile modificare le password su tutti gli account, in particolare se il messaggio include una password ancora in uso. Abilita l’autenticazione a più fattori ove possibile ed evita di riutilizzare le password in più servizi.
È anche importante segnalare l’e-mail al dipartimento abusi del provider e alle forze dell’ordine locali. Sebbene le autorità non possano recuperare i fondi persi, possono tenere traccia dei modelli di truffa ricorrenti e bloccare i domini correlati. Anche l’inoltro del messaggio a un centro nazionale di cibersicurezza o a un’agenzia di segnalazione delle frodi può contribuire a migliorare l’intelligence sulle minacce.
Se si teme che si sia verificata una vera violazione, eseguire una scansione malware utilizzando un software di sicurezza affidabile. Nella maggior parte dei casi, non verrà rilevata alcuna infezione, ma confermare che il sistema è pulito può fornire rassicurazioni.
Il ruolo della consapevolezza online
Questa truffa evidenzia quanto facilmente la paura possa prevalere sul pensiero critico. Le campagne di sensibilizzazione dell’opinione pubblica sono essenziali per la prevenzione. Le persone dovrebbero capire che i truffatori si basano sulle emozioni umane universali, sulla paura, sul senso di colpa e sul panico, piuttosto che su sofisticate abilità di hacking.
I professionisti della sicurezza consigliano agli utenti di trattare tutte le minacce non richieste con scetticismo. Le autorità autentiche non emettono ricatti tramite e-mail e gli avvisi di sicurezza legittimi non richiedono mai pagamenti in criptovaluta.
Nei luoghi di lavoro, la formazione sulla consapevolezza della sicurezza informatica dovrebbe includere esempi di truffe di sextortion. I dipendenti che sanno cosa aspettarsi hanno meno probabilità di cadere nelle tattiche intimidatorie. Le organizzazioni dovrebbero anche ricordare al personale che è sicuro segnalare messaggi sospetti senza timore di imbarazzo.
L’importanza dell’igiene digitale
Le buone abitudini online possono ridurre significativamente l’esposizione alle truffe. Evita di condividere pubblicamente i dettagli di contatto personali e usa password univoche per ogni account. Mantieni aggiornato il software, poiché le vulnerabilità nei client di posta elettronica o nei browser possono rendere i messaggi falsificati più convincenti.
Un altro passo pratico consiste nel verificare se le informazioni personali sono state esposte in una violazione dei dati nota. Servizi come Have I Been Pwned consentono agli utenti di verificare se la loro e-mail o password sono apparse in database trapelati. In tal caso, tali credenziali devono essere modificate immediatamente.
Infine, gli utenti possono coprire le webcam quando non sono in uso. Sebbene la truffa in sé raramente coinvolga una registrazione reale, le precauzioni fisiche possono aiutare a creare tranquillità e proteggere da rischi per la privacy non correlati.