Mail scam e di spam, come tutti saprete, sono all'ordine del giorno.
L'idea è quella di modificare leggermente l'indirizzo mail di un dato servizio (ad esempio da amazon.com ad amaz0n.com ) per ingannare chi legge e fargli credere che la mail sia partita realmente da Amazon, dalle poste, da una banca, etc
Le riproduzioni delle mail, molto spesso, sono pure abbastanza fedeli nei loghi e nel modo di scrivere.
Ovviamente facendo attenzione all'indirizzo mail ci si accorge della truffa.
A cosa servono? Facendo un login su una pagina compromessa (appositamente creata), l'attaccante può carpire dati sensibili quali password ed user.
Tuttavia ci sono tecniche più evolute (di spoofing appunto) che faranno sembrare che la mail sia stata mandata da voi stessi.
Effettivamente l'indirizzo è identico al vostro, così come l'eventuale foto profilo.
In queste mail, l'idea è d'ingannare il proprietario dell'account facendogli credere di essere stato hackerato tramite un malware e che gli attaccanti abbiano effettivamente pieno accesso all'account.
Lo spoofing altro non è che una tecnica che serve a creare un indirizzo mail uguale al vostro.
Avere accesso all'account vuol dire che che l'hacker di turno può inviare mail ai vostri contatti, leggere le mail ed anche eseguire accessi non autorizzati sui vostri social preferiti.
In molte mail inoltre, si sottolinea di esser vittima di un trojan quindi l'attaccante potrebbe effettivamente registrare lo schermo, i siti che visitate, attivare il microfono o la webcam.
Tutto ciò serve per estorcere denaro ("se non mi dai i soldi, invio un video compromettente di te che stai vedendo un sito per adulti a tutti i tuoi contatti").
Posto che tutto ciò è effettivamente possibile (per questo si consiglia sempre di coprire la webcam, se non la usate), nel 99% dei casi quando ricevete una mail da voi stessi...niente paura: si tratta di spoofing.
Ciò significa che qualcuno (persona o programma) sta utilizzando il vostro indirizzo email per "mascherare" il vero indirizzo email da cui è stato inviato lo spam.
Ciò è possibile anche se l'indirizzo utilizzato come "maschera" non esiste.
Delle mail spoofing che stanno girando sono queste (anche abbastanza moderne, visto che chiedono il riscatto in Bitcoin):
"Ciao!
Come avrai notato, ti ho inviato un'email dal tuo account.
Ciò significa che ho pieno accesso al tuo account.
Ti sto guardando da alcuni mesi.
Il fatto è che sei stato infettato da malware attraverso un sito per adulti che hai visitato.
Se non hai familiarità con questo, ti spiegherò.
Virus Trojan mi dà pieno accesso e controllo su un computer o altro dispositivo.
Ciò significa che posso vedere tutto sullo schermo, accendere la videocamera e il microfono, ma non ne sai nulla.
Ho anche accesso a tutti i tuoi contatti e tutta la tua corrispondenza.
Perché il tuo antivirus non ha rilevato il malware?
Risposta: il mio malware utilizza il driver, aggiorno le sue firme ogni 4 ore in modo che Il tuo antivirus era silenzioso.
Ho fatto un video che mostra come ti accontenti nella metà sinistra dello schermo, e nella metà destra vedi il video che hai guardato.
Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e contatti sui social network.
Posso anche postare l'accesso a tutta la corrispondenza e ai messaggi di posta elettronica che usi.
Se vuoi impedirlo, trasferisci l'importo di 217€ al mio indirizzo bitcoin (se non sai come fare, scrivi a Google: "Compra Bitcoin").
Il mio indirizzo bitcoin (BTC Wallet) è: 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt
Dopo aver ricevuto il pagamento, eliminerò il video e non mi sentirai mai più.
Ti do 48 ore per pagare.
Non appena apri questa lettera, il timer funzionerà e riceverò una notifica.
Presentare un reclamo da qualche parte non ha senso perché questa email non può essere tracciata come e il mio indirizzo bitcoin.
Non commetto errori!
Se scopro di aver condiviso questo messaggio con qualcun altro, il video verrà immediatamente distribuito.
Auguri!"
La tecnica d'inganno sfrutta il metodo di estorsione dei Ransomware (quei malware che criptano l'hard disk e promettono di decriptarlo, dopo aver pagato il riscatto).
A parte l'italiano un po' approssimativo (ma comunque migliore rispetto a mail di questo tipo), va sottolineato come gli importi del riscatto varino da mail a mail (così come l'indirizzo del wallet del truffatore).
Poi visto che il testo è sempre lo stesso, ci potrebbero essere inesattezze (non tutti hanno il microfono o la webcam).
Poi ci sono interrogativi logistici, ovviamente non va mai presa in considerazione l'idea di pagare ma anche pagando...chi vi assicura che il video verrà effettivamente eliminato? L'estorsione può durare all'infinito.
L'altro problema è: i Bitcoin sono semi-anonimi, se effettivamente pagate, il truffatore come fa a sapere che siete stati voi?
L'altra grossa cazzata è quella del timer (anche se effettivamente ci sono servizi ad esempio su Gmail che permettono di sapere quanto una mail è stata effettivamente letta).
Chiede inoltre di non far girare la mail (tante condivisioni farebbero credere che si tratti effettivamente di spam).
Tutte queste considerazioni dovrebbero indurvi a credere che gli attaccanti non possiedono nessun vostro video o foto compromettente, trattasi semplicemente di un modo per estorcere denaro facendo credere alla vittima che l'hacker di turno può rovinarvi la vita.
In altre varianti, potrebbero esserci degli allegati che conterrebbero la prova che effettivamente siete voi filmati in quei video, ovviamente non vanno mai aperti (perchè contengono malware o addirittura ransomware).
La variante inglese della mail è questa:
"Hello!
As you may have noticed, I sent you an email from your account.
This means that I have full access to your account.
I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site that you visited.
If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other device.
This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it.
I also have access to all your contacts and all your correspondence.
Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent.
I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use.
If you want to prevent this, transfer the amount of $580 to my bitcoin address (if you do not know how to do this, write to Google: "Buy Bitcoin").
My bitcoin address (BTC Wallet) is: 1BPUUNghhuwQjDDvFd3TnJz2ato5dyDLr8
After receiving the payment, I will delete the video and you will never hear me again.
I give you 48 hours to pay.
I have a notice reading this letter, and the timer will work when you see this letter.
Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address.
I do not make any mistakes.
If I find that you have shared this message with someone else, the video will be immediately distributed.
Best wishes!"
CONTROLLARE INDIRIZZO WALLET ED IP
Cambiare password servirà a poco (anche se è sempre consigliato in generale) perchè l'attaccante sta utilizzando tecniche di spoofing e non conosce i vostri veri dati di accesso.
In ogni caso per sapere se effettivamente la vostra mail è stata hackerata, potrete usare il servizio: HaveIbeenOwned
Basta digitare il proprio indirizzo e schiacciare su "pwned": se esce la schermata rossa si, se esce verde no.
Il fatto che la vostra mail possa essere stata soggetta a violazioni (perchè magari un sito dove eravate iscritti è stato hackerato), non vuol dire però che lo spoofing sia connesso a ciò.
Tornando al caso in esame, in prima approssimazione, ricercando gli indirizzi del wallet, ci si accorge come sono decine di migliaia le persone ad essere state vittime di questi raggiri.
Nelle 2 mail riportate sopra, gli indirizzi sono:
17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt
1BPUUNghhuwQjDDvFd3TnJz2ato5dyDLr8
Per verificare ciò basta andare qui: Bitcoin Abuse
L'altro passo da fare è verificare il vero indirizzo IP, da dove è partita la mail.
Prendendo in esame ad esempio Hotmail schiacciate sulla mail incriminata, poi in alto a destra sui tre puntini, infine su "visualizza origine messaggio".
Vi si aprirà questa schermata:
Digitate "sender" e segnatevi l'indirizzo IP.
Poi andate su un sito che localizza gli IP: ad esempio IP Address oppure MyIP.
Fatto ciò vi accorgerete che la mail è partita in realtà dall'Asia o Est Europa (di solito queste truffe arrivano da lì) e non dal vostro stesso indirizzo di posta elettronica.
Un metodo immediato per capire che il messaggio non proviene dal vostro stesso indirizzo è inviare una mail a voi stessi.
In primo luogo noterete che non finirà nella cartella spam (cosa che succede con le mail di spoofing), in secondo luogo se avete inserito il vostro nome e cognome, figurerà come "Mario Rossi" (esempio).
Invece le mail di spoofing non sono contrassegnate dal vostro nome, leggerete direttamente mariorossi@hotmail.it (cioè il vostro indirizzo mail).
Nessun commento:
Posta un commento