Il termine sextortion indica un mix di “sesso” ed “estorsione” e originariamente si riferiva a un ricatto attuato con foto o video compromettenti ottenuti da un’intrusione nel dispositivo della vittima o con l’involontaria complicità della vittima stessa. Sebbene questa forma di crimine esista ancora, gli estorsori moderni hanno meno chance di entrare in possesso di materiale succulento. Alcuni tipi di sextortion però funzionano anche quando la vittima sa per certo che non esiste materiale compromettente che la raffiguri. Guardiamo (in senso buono) dentro le ultime truffe di sextortion e vediamo cosa fare per contrastarle.
“Il tuo partner ti tradisce”
Questa nuova tattica di sextortion sostituisce la gelosia alla vergogna. Un coniuge riceve un’e-mail da una sedicente “azienda di cybersicurezza” che afferma di avere ottenuto l’accesso (traduzione: di avere violato) i dispositivi personali della dolce metà e di avere trovato prove di infedeltà. Per i dettagli, incluso il download di un archivio di dati, il destinatario è invitato a seguire il link gentilmente fornito. Ovviamente, gli autori degli attacchi non possiedono alcun dato a parte nomi e indirizzi e-mail della coppia, e il link serve solo a estorcere denaro.
“Ti ho registrato in video”
Questo è il più classico schema di sextortion. La vittima riceve un’e-mail da qualcuno che afferma di avere violato il suo computer o lo smartphone e di averla registrata con la webcam mentre (la vittima) navigava in siti porno. Per impedire che amici e famigliari vedano il video, gli “hacker” richiedono un pagamento urgente in criptovaluta. Per rendere la cosa più convincente, possono rivolgersi alla vittima per nome e mostrare nell’e-mail una sua password effettivamente in uso. In realtà, gli estorsori acquistano semplicemente database di credenziali rubate disponibili sul Dark Web, quindi inviano e-mail standard abbinando le password provenienti da questi database agli indirizzi corrispondenti.
“Hai una bella casa”
Per prendere di mira coloro che rimangono imperturbabili davanti al fatto che un cybercriminale conosca la loro password, è stato inventato un nuovo schema. L’autore della minacciosa e-mail afferma che se non verrà contattato per essere pagato in cambio del suo silenzio, si presenterà di persona a discutere la questione. Per dare peso alla minaccia, l’e-mail include una foto della casa della vittima tratta da Google Maps. Ovviamente, affinché questo espediente funzioni, gli autori degli attacchi hanno bisogno di database trafugati illegalmente che contengano non solo e-mail e password, ma anche indirizzi di casa.
“Ti ho registrato in video. Vuoi vedere?”
Un’altra popolare truffa di sextortion non richiede un pagamento in criptovaluta ma tenta di installare malware nel computer della vittima. Un’e-mail invita il destinatario a guardare un video per rendersi conto di quanto sia grave la minaccia, ma per farlo è necessario visitare un sito Web e installare uno speciale lettore multimediale, ovviamente infetto.
“Ti hanno fatto un deepfake”
Questa versione relativamente nuova della truffa funziona abbastanza bene con le persone sicure che non esistano loro video compromettenti. Dopotutto, i deepfake video e porno con volti di celebrità sovrapposti ai corpi di pornostar sono arrivati anche sui telegiornali. La truffa è disponibile in due versioni: nella prima gli autori degli attacchi affermano soltanto di avere commesso un deepfake; nella seconda l’hanno fatto davvero. È facile distinguerle: in quest’ultimo caso, il deepfake viene immediatamente presentato alla vittima, a volte anche sotto forma di una lettera fisica recapitata all’indirizzo di lavoro. Per realizzare un tale deepfake, ovviamente, sono necessarie foto e video della vittima di buona qualità. È possibile ridurre le possibilità di essere attaccati in questo modo non pubblicando tonnellate di selfie e altri scatti nitidi del proprio viso sui social media.
“Finirai in galera”
Un altro tipo di sextortion è un’e-mail truffa che accusa il destinatario di possesso di materiale pedopornografico. Il mittente afferma di lavorare per le forze dell’ordine e che sta preparando un elenco di pedofili per un arresto di massa. Il destinatario è tra questi, afferma l’e-mail. Per ottenere la rimozione del proprio nome dall’elenco, la vittima è invitata a pagare un riscatto. I criminali possono essere piuttosto creativi con le minacce, fino a risultare stravaganti: il mittente può “lavorare per la CIA”, “gestire un sito Web per l’assunzione di sicari” o addirittura “aver piazzato una bomba sotto casa” .
Cosa fare se si riceve un’e-mail di sextortion
Niente panico. Quasi tutte le truffe di sextortion sono solo vuote minacce. I truffatori inviano milioni di e-mail identiche e non fanno nulla a coloro che le ignorano (poiché non possono fare altro). Pertanto, la risposta migliore consiste nel contrassegnare l’e-mail come spam ed eliminarla. A proposito, gli utenti di Kaspersky Plus e Kaspersky Premium sono protetti dalla stragrande maggioranza dello spam, nonché da siti Web e app dannosi distribuiti con l’esca dello spam.
L’eccezione si verifica quando si conosce personalmente il mittente o quando all’e-mail sono allegate foto e video incriminanti. In questo caso si potrebbe avere a che fare non solo con pratiche di sextortion, ma anche con deepfake diffamatori, due reati molto gravi nella maggior parte dei Paesi. Metti da parte ogni imbarazzo e contatta immediatamente la polizia.
Come salvaguardarsi dalle fughe di foto intime
Se hai mai scattato un nudo, l’hai inviato a qualcuno o salvato su un dispositivo, leggi la nostra guida dettagliata su come archiviare in modo sicuro foto e video intimi e cosa fare se continuano a trapelare online (spoiler: sei sempre in tempo a rimuoverli da Internet!)