Si tratta di una pratica usata da cyber criminali per estorcere denaro alle vittime, che sono soprattutto uomini (ma la truffa può colpire anche le donne).
La tecnica è abbastanza semplice (ma evidentemente efficace): la vittima viene contattata via Facebook (o su altri social media) da una persona che crea un profilo falso con foto di donne o uomini avvenenti: sono esche sessuali.
Dopo che tra l’adescatore e la vittima è nato un rapporto confidenziale, la conversazione si sposta su Skype (o su una qualsiasi altra applicazione di chat e messaggistica istantanea).
La donna si spoglia e chiede al suo interlocutore di fare lo stesso, ovviamente davanti alla webcam, con lo scopo di ottenere una nutrita collezione di foto e video osé.
A questo punto − raggiunto lo scopo − la scena cambia: la donna sparisce e al suo posto compare una richiesta di riscatto.
Sembra incredibile, ma molti ci cascano.
E la richiesta di riscatto (via money transfer e sempre più spesso anche in Bitcoin) viene resa più forte con la minaccia di pubblicare le immagini compromettenti sul social network. E si tratta di una minaccia reale, perché la vittima ha concesso l’amicizia all’adescatore, quindi questo ora conosce la lista di tutti i suoi contatti.
Le vittime vengono scelte in base alla loro situazione familiare e alla carica che ricoprono (per esempio un uomo sposato con figli o un professionista sono tra le vittime preferite). Questo persone offrono teoricamente ai criminal hacker una maggiore “garanzia” per il pagamento del riscatto senza denunciare l’accaduto per nascondere le foto e i video.
La sextortion è in Italia un reato in crescita esponenziale, le cui vittime sono prevalentemente persone di sesso maschile (nel 2017 gli uomini sono stati il 92%) di ogni età ed estrazione sociale.
A partire dal 2013 si è registrata una media di circa tre casi al giorno, con un aumento delle denunce di oltre il 500% nei tre anni successivi. La Polizia Postale e delle Comunicazioni ha dedicato a questo fenomeno un pool investigativo ad hoc sin dal 2015.
Le denunce sono aumentate dalle 225 del 2013 a 1.190 nel 2014 e poi 1.288 del 2015, per arrivare a 1.324 del 2016.
La provincia di Bologna nel 2016 è stata quella nella quale è stato presentato il maggior numero di denunce (146); seguita da Milano (140) e Roma (136).
Nel 2017 si è registrata una prima flessione, con 1.041 casi.
Sono numeri preoccupanti, soprattutto se pensiamo che potrebbero essere moltiplicati di 10 volte se è vero, come ritiene la Polizia, che solo il 10% delle vittime presenta denuncia, per timore di uno scandalo o per vergogna.
Come evitare la truffa
Questi profili fasulli hanno alcune caratteristiche che dovrebbero destare subito qualche sospetto: in genere sono praticamente “vuoti”, scorrendoli non si trova una storia, né post precedenti. C’è la foto di una bella ragazza, che si presenta come “Single” e poco più.
Molto spesso sono profili gestiti non da persone, ma da “bot” (chatbot) in grado di intavolare una banale discussione in chat, ma che falliscono nel rispondere a domande complesse e in genere si esprimono per frasi fatte: “ok”, “mi chiamo Chantal”, “vivo a Nantes”, “faccio la fioraia”, “ho voglia di sesso” eccetera.
Il fatto che nel profilo sia indicata una laurea conseguita all’università di Bordeaux, per poi andare a fare la fioraia a Marsiglia potrebbe insospettire, ma quando addirittura dopo poche battute in chat ti chiedono di fare sesso virtuale, lo scopo dovrebbe diventare evidente a chiunque.
Ci sono poi altri elementari accorgimenti per non rimanere vittima della truffa del sextortion:
- evitare di dare “amicizia” a persone che non si conoscono. Il fatto che qualche nostro contatto compaia nella lista delle “amicizie in comune” non significa nulla: potrebbe esserci cascato anche lui. E noi potremmo, accettando l’amicizia, indurre in errore qualche altro nostro amico;
- verificare (attraverso Google, sezione Immagini) la foto (probabilmente rubata) dell’avvenente signorina che ci ha contattato: Google ci proporrà una serie di volti e di link associati alla sua foto, da cui probabilmente vedremo che quella foto appartiene a tutt’altra persona;
- come ci ripetevano sempre le nostre mamme: “non accettare le caramelle dagli sconosciuti”. Nel caso della truffa del sextortion: diffidiamo sempre dai contatti sconosciuti.
Le truffe via email
molto più diffuso e aggressivo è apparso nel 2018 ed ancora oggi continua a manifestarsi ad ondate successive, in varianti diverse ma sostanzialmente simili.
La prima ondata si è registrata a luglio 2018 ed ha avuto tale diffusione da meritarsi un articolo (con lancio addirittura in prima pagina) sul Corriere della Sera del 25 luglio 2018.
Il porno ricatto veniva fatto con una e-mail che diceva sostanzialmente: “Ho violato il tuo computer, ti ho ripreso mentre andavi sui siti porno ed ora voglio soldi per non pubblicare il filmato”.
Quello che – in questa prima ondata – creava preoccupazione in chi la riceveva era soprattutto l’oggetto dell’e-mail, che era sempre del tipo: “username – password”. Dove sia lo username che la password erano autentici, cioè corrispondenti a quelli realmente utilizzati dal destinatario.
A questo punto si scarta l’idea di cancellare il messaggio e, con un po’ di ansia, si è indotti a leggerlo per capire meglio di cosa si tratta.
L’e-mail è indirizzata sempre ad una persona di sesso maschile, a cui viene comunicato di essere stato spiato mentre visitava un sito porno “xxx streaming (adult porn) web-site” (ma non si specifica quale sia il sito).
Chi ha scritto il testo dell’e-mail sostiene di aver inserito (nel sito porno) un software in grado di vedere quello che la vittima ha fatto (“you know what I mean”). Si aggiungono poi altre affermazioni, più o meno minacciose, per spiegare che tutto è stato tracciato e filmato.
Come ulteriore intimidazione, lo scrivente aggiunge che si è impossessato della lista dei contatti Messenger, Facebook ed e-mail.
A questo punto arriva perentoria la richiesta di denaro (che va da 1.000 fino a 7.000 dollari), da versare sul conto Bitcoin indicato. E si precisa che “l’offerta non è negoziabile”. La minaccia è chiara: se non sarà eseguito il pagamento, il video (?) sarà inviato a tutti i nostri contatti, inclusi amici, familiari e colleghi di lavoro. Viceversa, in caso di pagamento, il video sarà cancellato (bontà loro).
Non stupisce che di fronte ad una siffatta e-mail, la persona sia spaventata e dubbiosa sul da farsi, soprattutto per la dichiarata conoscenza della password da parte del malfattore.
Come difendersi
Ovviamente si tratta solo un tentativo di estorsione, anche abbastanza grossolano, per spillare soldi agli utenti sfruttando un possibile effetto “panico”.
Non hanno nessun vostro filmato, né hanno violato la vostra casella di posta.
Quindi cancellare l’e-mail ed ignorare qualsiasi altro messaggio del genere. Hanno solo provato a fregarci, come avranno provato, “a strascico”, con chissà quanti altri.
Evitare naturalmente di interagire, rispondendo al malandrino: servirebbe solo a confermare l’esistenza del nostro indirizzo e-mail.
Non dobbiamo quindi preoccuparci, ma a condizione di tener sempre alta l’attenzione ed essere consapevoli che questi attacchi cercano di fare leva sulle debolezze umane (il social engineering).
0 commenti