Settimana 33: «Fake sextortion» e fughe di dati

20.08.2024 - Le fughe di dati presso fornitori di servizi online sono fonte di nuove idee per i truffatori. In particolare è possibile collegare le informazioni provenienti da varie fughe di dati sotto forma di nuove serie di dati impiegandole in modo fraudolento. Vari casi di «fake sextorsion» notificati all’UFCS mostrano come i truffatori si servano di serie di dati provenienti da fughe di dati.

«Fake sextortion»: di che cosa si tratta?

Le e-mail di «fake sextorsion» circolano già da tempo. Nella maggior parte dei casi queste e-mail sono simili e presentano soltanto variazioni minime. In linea di principio si tratta di far credere ai destinatari che il loro computer sia stato infettato da un malware che avrebbe permesso di filmare la persona interessata durante atti sessuali. Si fa inoltre credere che il materiale video verrà pubblicato prossimamente se non si paga un riscatto. Si parla di «fake sextorsion» dal momento che la storia è inventata (ovvero «fake»), vi è un ricatto (ingl. «extorsion») e si è in presenza di una componente sessuale.

Ampliamento con ulteriori dati

Negli scorsi giorni all’UFCS sono stati notificati diversi casi di e-mail «fake sextorsion», in cui al destinatario viene mostrata una parte del suo numero di telefono. In altri casi viene allegata una password effettivamente utilizzata dal destinatario, o che ha perlomeno utilizzato in passato.

Esempio di un’e-mail di «fake sextorsion» contenente parti di un numero di telefono
Esempio di un’e-mail di «fake sextorsion» contenente parti di un numero di telefono

Tutte queste indicazioni hanno lo scopo di intimidire: i truffatori vogliono così comunicare al destinatario di avere numerose informazioni sul suo conto, per dare maggior peso alle richieste di denaro. Messaggi di questo genere vanno sempre ignorati e non bisogna assolutamente entrare nel merito delle richieste intimate.

Fughe di dati

Ora ci si può chiedere da dove i truffatori abbiano ottenuto i dati utilizzati (password, numero di telefono ecc.). Una cosa è certa: non provengono direttamente dall’apparecchio dell’utente. Provengono piuttosto da vari fornitori di servizi online e social media, a cui sono stati rubati. È stato possibile impossessarsi dei dati attraverso infezioni da malware sui sistemi del fornitore di servizi oppure (più frequentemente) attraverso accessi protetti in misura insufficiente.

I dati provenienti dalle più svariate fughe di dati vengono perlopiù commercializzati nel Darknet oppure offerti liberamente. Per i truffatori è pertanto facile accedere a varie serie di dati.

È possibile verificare se una persona è presumibilmente interessata da una fuga di dati per esempio sul noto portale «Have I Been Pwned». Questa piattaforma riporta le fughe note (ingl. «breaches» oppure «leaks»). Chiunque può verificare personalmente sul portale se ricorre il proprio indirizzo e-mail e di quali fughe di dati ha fatto parte. Non siate meravigliati se vi trovate anche il vostro indirizzo e-mail: con il tempo quasi tutti gli indirizzi e-mail utilizzati attivamente ricorrono in un qualche «leak». Secondo le circostanze è d’importanza decisiva quali altri dati sono andati persi nello stesso contesto. Su «Have I Been Pwned» ciò è perlopiù visibile. Può trattarsi per esempio di indirizzi o numeri di telefono, ma in casi più gravi anche di numeri di carte di credito o password. Già soltanto per questo motivo è importante far uso di password diverse per i vari servizi online e i social media.

Nell’esempio raffigurato sopra i dati provengono da una fuga legata al fornitore di servizi di criptovaluta «Gemini». Evidentemente tutti i destinatari delle e-mail fraudolente sono stati colpiti da questa fuga di dati.

Dalle varie serie di dati, con qualche sforzo, è possibile realizzare dei dati qualitativamente migliori. Immaginate quanto segue: dal leak A, assieme al vostro indirizzo e-mail è stato sottratto il vostro indirizzo di domicilio. Dal leak B è stato sottratto lo stesso indirizzo e-mail assieme al vostro numero di telefono, mentre dal leak C è stato sottratto nuovamente lo stesso indirizzo e-mail assieme a una password. Mediante l’indirizzo e-mail condiviso dalle tre fughe di dati è possibile attribuire tutti questi dati a una persona. Gli scenari di truffa che ne risultano sono molteplici: truffa nell’ambito di un’ordinazione, controllo di conti e-mail, furto di identità ecc.

Raccomandazioni

Per proteggere i dati personali e prevenire i tentativi di truffa, l’UFCS consiglia le seguenti misure:

  • Siate prudenti nel trattamento dei vostri dati. Condividete le informazioni soltanto laddove è necessario e se i dati sono opportunamente protetti.
  • Fate sempre uso di un password manager e configurate password diverse per conti diversi.
  • Se possibile, fate uso di diversi indirizzi e-mail. Se per l’e-banking e per altri servizi piuttosto sensibili fate uso di un indirizzo dedicato, vi risulterà più facile individuare p. es. anche i messaggi di phishing.
  • Non lasciatevi mettere sotto pressione da e-mail che richiedono un’azione rapida da parte vostra. In caso di dubbio potete fare una notifica all’UFCS e chiedere se si tratta di un messaggio legittimo o meno.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 20.08.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2024/wochenrueckblick_33.html