La truffa del “pagaci o pubblichiamo te che guardi i porno” ci ricorda quanto siamo sorvegliati

La catena di mail che sta colpendo migliaia di italiani nelle ultime settimane più che attaccare i nostri computer attacca le nostre paure.

|
25 luglio 2018, 10:32am

Immagine: Motherboard

Da alcune settimane a questa parte numerose figure pubbliche e istituzionali italiane sono state vittime di una catena di truffe via email del tipo "pagaci questa somma in Bitcoin o sveliamo ai tuoi famigliari un video in cui guardi dei porno." Per capirci immediatamente, praticamente le trama dell'episodio 'Shut up and dance' dell'ultima stagione di Black Mirror.

La truffa è piuttosto semplice: l'aggressore invia la stessa mail in massa a migliaia di contatti (per lo più personalità note) e li intima a pagargli un riscatto per evitare che un loro video privato, registrato dall'hacker stesso attraverso la webcam del laptop della vittima, diventi pubblico.

L'hacker acquisisce autorità nei confronti della vittima includendo nella mail una presunta password appartenente alla vittima stessa, recuperata — il più delle volte — in un dump di dati d'accesso qualsiasi avvenuto nell'ultimo anno. Per capire quanto siete vulnerabili in questo senso basta che inseriate le vostre mail su un sito come HaveIBeenPwned.com.

La truffa, i cui caratteri sono estremamente efficaci, è stata già riconosciuta dalla Polizia Postale italiana che, in un'intervista con il Corriere della Sera, ha dichiarato nella persona della sua direttrice Nunzia Ciardi, "Non pagate perché tanto non servirebbe a fermare la minaccia," ha spiegato. "Stiamo intervenendo con indagini mirate, ma è importante sapere che cedere al ricatto può soltanto aumentare la pressione di questi criminali."

La natura decisamente efficace della truffa non è casuale: in un'analisi pubblicata su Il Disinformatico, il blog del divulgatore informatico Paolo Attivissimo, è possibile prendere visione di una copia di queste email truffa e percepire direttamente il tipo di pressione psicologica che viene esercitata.

È solo un colpo di sfortuna che io sia finito a contatto con le tue malefatte. Be', in realtà ho installato un malware su un sito per adulti (un sito porno) e tu hai visitato questo sito per divertirti un po' (sai cosa intendo). Mentre eri impegnato a guardare i video, il tuo browser ha cominciato a funzionare come un RDP (Remote Control Desktop) insieme ad un keylogger che mi ha fornito l'accesso al tuo display alla tua webcam. Subito dopo, il mio software ha raccolto i dati di tutti i tuoi contatti da Messenger, Facebook e dalla casella di posta elettronica.

I punti di pressione psicologici esercitati dal malintenzionato in questione non sono casuali: stiamo vivendo un periodo storico in cui il concetto di sorveglianza è così diffuso da essere ormai quasi dato per scontato da noi utenti. Siamo membri sorvegliati di una società sorvegliata, e l'eventualità che un malintenzionato abbia sfruttato delle debolezze in questo sistema per ricattarci ci sembra così ovvia da non portarci nemmeno a questionare la reale legittimità della minaccia.

In una società in cui la presenza di webcam e sensori di vario tipo è capillare, la prevenzione diventa quasi una corsa verso un orizzonte irraggiungibile e sopprime la necessità di proteggersi sopperendo ad essa con la convinzione che nessuna protezione sarà mai abbastanza e che, sopratutto, nessun malintenzionato avrà mai voglia di attaccare proprio noi.

È in questo contesto che l'hacker di questa truffa trova un tasto dolente per le sue vittime: l'idea di essere una delle vittime casuali ("È solo un colpo di sfortuna che io sia finito a contatto con le tue malefatte") è tanto assurda quanto probabile, e la mancanza di consapevolezza generale nella navigazione online rende la possibilità che un malware abbia trovato strada nel nostro computer mentre eravamo impegnati a visitare chissà che sito porno trasforma un'eventualità che pensavamo lontanissima in una realtà paralizzante. Pagare una somma importante in Bitcoin o rischiare di farsi vedere da tutti i propri parenti mentre ci si sta masturbando?

Per difendersi, numerosi esperti consigliano che la soluzione più rapida ed efficace sia ignorare per via direttissima questo tipo di mail, non dimenticandosi però che cambiare le password una volta in più è sempre meglio che farlo una volta in meno — Sopratutto se non ricordiamo quelle che abbiamo utilizzato.

La Polizia Postale consiglia comunque di entrare in contatto con le autorità per verificare sempre l'attuale legittimità della minaccia. Ma se dall'inizio dell'era dell'informatica è vero l'assunto che il bug più grande di un computer è quello che si trova tra il monitor e la sedia, allora ci sono ottime probabilità che l'unica reale minaccia posta da questa catena di truffe sia da ritrovarsi nella possibilità che il bluff dell'hacker riesca, e che qualche vittima spaventata paghi il riscatto senza fare domande.

Segui Federico su Twitter: @nejrottif

Questo articolo è apparso originariamente su Motherboard IT.