Il mercato delle password rubate

Una delle abitudini mattutine che molti di noi avranno adottato, ancora di più adesso in un periodo in cui ancora regna il lavoro da casa o Smart working, è quello di accompagnare il caffè della mattina con un breve sguardo alla casella di posta elettronica.

Ma pensate, durante questa routine, di trovarvi una mail da parte di un Criminal Hacker che – rigorosamente in inglese - bellamente ci rinfaccia di aver in mano la nostra password (con tanto di screenshot per dimostrarlo) e di aver compromesso il nostro pc.

Fortunatamente, per quanto possa sembrare catastrofico, non tutto è perduto e ci sono alcuni semplici passi da poter svolgere per ristabilire la tranquillità.

È successo solo a me?

La prima cosa da capire è che non si tratta di un attacco ad personam, il Criminal Hacker non ci sta prendendo di mira in maniera specifica, ma si tratta di una campagna automatizzata di ricatto via mail.

L'abbondanza di email e password rubate presenti in Rete, facilita enormemente il compito degli aggressori in questo caso, consentendo loro di mandare migliaia e migliaia di email ogni giorno!

Lo "script" – perché proprio di questo si tratta - presenta alcune variazioni, ma solitamente continente questi elementi: la nostra password in chiaro, una minaccia di pubblicare video o materiale compromettente che apparentemente è stato registrato senza che noi ce ne accorgessimo e infine la richiesta di pagamento di una somma di riscatto.

Si tratta della vecchia e "cara" tecnica della sextortion, un metodo particolarmente "violento" per cercare di estorcere bitcoin alle vittime che non da segnali di voler scomparire nel breve periodo.

Anzi, queste truffe sembrano essere aumentate un po' durante la pandemia…

La truffa

Mentre le truffe di sextortion si evolvono e i dettagli cambiano nel tempo, lo script della mail "ho la tua password" è ormai diventato un appuntamento fisso, con poche variazioni sul tema.

La nostra password, appunto, viene abilmente inclusa nella riga dell'oggetto della mail per catturare la nostra attenzione e creare il maggior stato di ansia possibile in noi.

Password che – naturalmente – loro conoscono. Su questo non si discute ed è l'unica parte della truffa "vera".

Questo però, non significa che abbiano anche il controllo del nostro computer, della webcam o della posta elettronica.

Come facciamo a saperlo? Beh, la prima cosa da considerare è quale password hanno. Se usiamo solo un piccolo numero di password ripetutamente per diversi siti e servizi come Amazon o Spotify, è probabile che la password sia stata trovata tra quelle rubate durante una violazione dei dati in di uno dei servizi coinvolti.

Se questo è il caso, ci sono altrettante probabilità che siamo già stati avvisati della violazione e che ci sia stato consigliato di cambiare la password in qualsiasi altro posto in cui la utilizziamo.

Tutte le password che vengono, ahimè, regolarmente rubate finiscono nel dark web e nei forum di Criminal Hacker; dove sono oggetto di una compravendita (e tra i compratori troviamo proprio gli autori della truffa che stiamo descrivendo).

Il nostro "panico" nel riconoscere una password e vedercela recapitare è una reazione istintiva che il truffatore spera di utilizzare per convincerci che loro hanno il controllo e che dobbiamo pagare.

Questo è il motivo per cui è sempre importante fare un respiro, allontanarsi dallo schermo e pensare a ciò che sta succedendo senza farci prendere dall'ansia.

Possono veramente avere il controllo del mio pc, della mail o della webcam?

In casi remoti, si. Potrebbero, ma le possibilità che ciò avvenga sono davvero minime. Così minime, direi, da essere scartate se abbiamo ricevuto un'email che contiene la nostra password in chiaro.

In effetti, se il Criminal hacker controlla il nostro computer, perché dovrebbe mandarci un'email?

Esistono malware come il Ransomware, più redditizi e sicuramente più convincenti di un ricatto in cui si millantano registrazioni intime.

D'altronde, se avessero veramente tra le mani un video compromettente, perché non hanno incluso una piccola clip come prova? Sicuramente questo sarebbe il modo per assicurarsi il pagamento?

Come reagire allora?

La prima cosa da fare, è mantenere la calma. Come detto in apertura, nessuno sta prendendo di mira proprio noi, ma ci sono migliaia di persone ogni giorno si trovano davanti questa mail; l'unica cosa che cambia è la password e, probabilmente, a causa dei tassi di cambio Bitcoin che salgono così rapidamente, la somma di riscatto richiesta.

Il criminale che si nasconde dietro l'e-mail sa che la persona media non risponderà a una richiesta di 10mila euro e sarebbe più probabile che ignori l'e-mail o la denunci alla polizia.

Invece, calcolano che circa 1.000 sia la cifra "perfetta" per essere pagati.

Comunque, per quanto riguarda il "cosa fare", ci sono tre semplici step:

• Se non l'avete già fatto, cambiare la password dell'account per qualsiasi servizio a cui si applica la password che compare nell'email. Se è più di uno, cambiali tutti con password uniche. Un gestore di password rende questo facile da fare e risulterà in password più forti e sicure che non dovremmo preoccuparci di ricordare ogni volta che cerchiamo di accedere.
• Nel mentre che siamo in procinto che cambiare la password, dovremmo anche dare uno sguardo alle impostazioni e vedere se l'autenticazione multi fattore è consentita. Se lo è, allora è consigliato usarla.

• Segnalare l'email alle autorità competenti. Il sito della Polizia postale ha una sezione dedicata dove poter segnalare questo tipo di tentativo di truffa.

Non abbassiamo la guardia!