Migliaia di utenti in tutto il mondo sono stati raggirati da una truffa via email, in cui il mittente minacciava di diffondere immagini intime o compromettenti del malcapitato destinatario, se non avesse pagato un ricatto in Bitcoin. Le suddette mail circolano da diversi giorni e ingannano i sistemi antispam di molti programmi di posta elettronica perché i truffatori si sono affidati alla letteratura straniera per farla in barba ai controlli.
Grazie a citazioni di Shakespeare e di Jane Austen nell’oggetto della mail, infatti, molti filtri antispam ritengono che la mail contenga un linguaggio erudito e quindi non la bloccano. Per quanto riguarda la nostra esperienza diretta, abbiamo notato che Gmail non cade nel tranello: queste mail truffa passano inosservate, a meno che non si vada a “spulciare” la cartella di spam. Alcuni colleghi che usavano client di posta differenti invece sono stati sommersi dalle minacce.
È questo l’unico elemento di novità di una tecnica che per il resto è la solita di sempre: prima incute paura nel destinatario, poi lo ricatta. Un esempio di testo della mail è quello riportato in questa immagine:
Nonostante l’italiano sia claudicante, e sia il testo sia il contenuto nel complesso risultino la copia di quelli usati per truffe analoghe del 2017 e del 2018, molti utenti ci sono cascati. La rivista Fortune pubblica infatti una stima del bottino che hanno già incassato gli hacker con questa truffa, operata dagli specialisti di Area1Security: si parla di 949.000 dollari. Perché tanto successo? L’esperto Oren Falkowitz di Area1Security è lapidario: “non è merito della scappatoia tecnica che stanno sfruttando, ma dei fallimenti umani di cui stanno approfittando”.
Falkowitz spiega infatti che le varianti del ricatto via mail utilizzate dai criminali sono sempre le stesse: minaccia pornografica, minaccia di distruggere tutti i dati sul PC. Nonostante siano ormai note e pubblicizzate, funzionano perché sfruttano l’emotività facendo leva sulla paura di perdere qualcosa di prezioso (dati, foto di famiglia o reputazione) e/o perché paventano di svelare informazioni sensibili, come la frequentazione o la visione di contenuti per adulti.
Che cosa fare per difendersi
Non fare nulla. Il criminale informatico non è in possesso di alcun dato compromettente, quindi non può diffondere nulla. Mai e poi mai pagare un riscatto: la storia insegna che persino quando il criminale dispone effettivamente di dati sensibili, non li cestinerà pagando un riscatto, anzi si otterrà solo un accanimento nelle richieste estorsive. Imperativo poi proteggere adeguatamente la mail. Prima di tutto, chi ha ricevuto la mail nella Posta in arrivo e non nello Spam dovrebbe fare una segnalazione al gestore del servizio affinché applichi filtri migliori. In secondo luogo, si ricorda di usare password efficaci e non applicate ad nessun altro servizio o profilo personale.