"Guardavi un sito porno: adesso paga o lo sapranno tutti"

Una nuova forma di ricatto sta spaventando gli utenti di internet. Sono decine i cittadini che in questi giorni hanno segnalato di aver ricevuto una strana email, in lingua inglese o in italiano, che reca nell'oggetto il loro indirizzo di posta elettronica, magari con la una password attuale o passata.

Il mittente della email informa di essere riuscito ad ottenere il controllo del dispositivo (pc—telefono) e della webcam, e di aver girato all'insaputa degli utenti un filmato, che li ritrae intenti a guardare film pornografici. Prosegue minacciando che, se non si procede al pagamento di un riscatto (rigorosamente in bitcoin), diffonderà il presunto video intimo ad un elenco di contatti (familiari ed amici), di cui disporrebbe grazie ad un presunto, precedente accesso abusivo ai profili social.

Nulla di tutto ciò è reale: è solo l'ultima modalità con la quale criminali informatici senza scrupoli tentano di terrorizzare gli utenti, per consumare una vera e propria cyber-estorsione.

L'unico elemento autentico dell'intera vicenda è rappresentato proprio dall'utilizzo di una e-mail identica a quella del destinatario o la password, anche precedente e magari non più utilizzata, dell’account virtuale, password della quale i criminali in questione sono entrati in possesso sfruttando, presumibilmente, i numerosi mercati neri presenti sul darkweb o verosimilmente bypassando i sistemi di sicurezza del gestiore di posta elettronica (ad oggi le segnalazioni riguardano libero, alice e virgilio).

Tutto il resto, invece, rappresenta un'invenzione dell'autore del reato, elaborata al solo scopo di gettare nel panico i cittadini ed indurre a pagare la somma illecita.

E' tecnicamente impossibile, infatti, che chiunque, pur se entrato abusivamente nella casella di posta elettronica, abbia potuto solo installare un virus in grado di assumere il controllo di un dispositivo, attivando la webcam o rubando i dati. 

Ecco dunque alcuni consigli su come comportarsi della polizia postale:

"Mantenere la calma: il criminale non dispone, in realtà, di alcun filmato che ci ritrae in atteggiamenti intimi né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di amici o parenti; non pagare assolutamente alcun riscatto: l'esperienza maturata dal personale specializzato con riguardo a precedenti fattispecie criminose (come sextortion e ransomware) dimostra che, persino quando il criminale dispone effettivamente di nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, volte ad ottenere ulteriore denaro.

Cosa fare. Proteggere adeguatamente l'email (ed in generale i nostri account virtuali): cambiare, se non si è già provveduto a farlo, la password, impostando password complesse; non utilizzare mai la stessa password per più profili; abilitare, ove possibile, meccanismi di autenticazione "forte" ai nostri spazi virtuali, che associno all'inserimento della password, l'immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare.

L'utente deve tenere presente che l'inoculazione (quella vera) di virus informatici capaci di assumere il controllo dei nostri dispositivi può avvenire soltanto se i criminali informatici abbiano avuto disponibilità materiale dei dispositivi stessi, oppure qualora siano riusciti a consumare, ai nostri danni, episodi di phishing informatico: è buona norma quindi non lasciare mai i nostri dispositivi incustoditi (e non protetti) e guardarsi dal cliccare su link o allegati di posta elettronica sospetti.

Infine, aggiornare sempre il sistema operativo dei nostri dispositivi, ed installare e tenere aggiornati adeguati sistemi antivirus.