Gent.mi utenti,
da diverso tempo continuiamo a trovare nelle nostre caselle di posta dei messaggi contenenti una nostra password, tipo questo (se ne avete già sentito parlare, potete andare alla sezione consigli, in fondo):
“I greet you!
I have bad news for you.
06/28/2018 – on this day I hacked your operating system and got full access to your account xxxxxx@yyyyyyyy.it
On that day your account (xxxxxx@yyyyyyyy.it) password was: zzzzzzzz
It is useless to change the password, my malware intercepts it every time.
How it was:
In the software of the router to which you were connected that day, there was a vulnerability.
I first hacked this router and placed my malicious code on it.
When you entered in the Internet, my trojan was installed on the operating system of your device.
After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).
A month ago, I wanted to lock your device and ask for a small amount of money to unlock.
But I looked at the sites that you regularly visit, and came to the big delight of your favorite resources.
I’m talking about sites for adults.
I want to say – you are a big pervert. You have unbridled fantasy!
After that, an idea came to my mind.
I made a screenshot of the intimate website where you have fun (you know what it is about, right?).
After that, I took off your joys (using the camera of your device). It turned out beautifully, do not hesitate.
I am strongly belive that you would not like to show these pictures to your relatives, friends or colleagues.
I think $948 is a very small amount for my silence.
Besides, I spent a lot of time on you!
I accept money only in Bitcoins.
My BTC wallet: 15ZHnf1MPn6ybb8yUeAoCQ1AJtiKhg3NrP
You do not know how to replenish a Bitcoin wallet?
In any search engine write “how to send money to btc wallet”.
It’s easier than send money to a credit card!
For payment you have a little more than two days (exactly 50 hours).
Do not worry, the timer will start at the moment when you open this letter. Yes, yes .. it has already started!
After payment, my virus and dirty photos with you self-destruct automatically.
Narrative, if I do not receive the specified amount from you, then your device will be blocked, and all your contacts will receive a photos with your “joys”.
I want you to be prudent.
– Do not try to find and destroy my virus! (All your data is already uploaded to a remote server)
– Do not try to contact me (this is not feasible, I sent you an email from your account)
– Various security services will not help you; formatting a disk or destroying a device will not help either, since your data is already on a remote server.
P.S. I guarantee you that I will not disturb you again after payment, as you are not my single victim.
This is a hacker code of honor.
From now on, I advise you to use good antiviruses and update them regularly (several times a day)!
Don’t be mad at me, everyone has their own work.
Farewell.”
Il messaggio è scritto generalmente in inglese, segno che l’organizzazione dei truffatori non è così ben organizzata a livello mondiale da avere dei buoni traduttori nelle varie lingue, come in altre occasioni.
La mail ha due particolarità: la prima che si nota è che il messaggio sembra arrivare da se stessi, la seconda è che presenta una password realmente utilizzata da voi in passato o ancora in essere.
La risposta al primo problema è che il messaggio non arriva dalla vostra casella, ma è un messaggio “travestito” da voi con una tecnica di “email spoofing” di cui abbiamo già parlato varie volte in diversi articoli, tra cui questo: http://www.informaticaravenna.it/2017/07/24/casini-informatici-email-dal-capo/
La vista di una propria password in genere è quello che preoccupa un po’ di più. Se la password esposta è quella attualmente utilizzata per la posta elettronica, chiaramente ci sono più possibilità che l’utente cada nel tranello e decida di pagare il riscatto richiesto, soprattutto se, come cita il messaggio, sono stati visitati siti pornografici.
Ma vediamo di capire come è possibile che questi hacker abbiano una vostra password, anche vecchia.
Nel corso degli anni, sono state rubate le password di diversi siti tra cui Linkedin, Acrobat, iMesh, Linux forum, Myspace, ecc….
Questo fenomeno è chiamato PWNED, e vi sono alcuni siti sul web che vi dicono se la vostra casella compare nei database delle password rubate.
I database contenenti queste password sono acquistabili nel dark web (sono siti visitabili solo tramite alcuni browser specifici, altrimenti non se ne vedono i contenuti).
Acquistati questi database, hanno confezionato questa bella email e l’hanno mandata a decine di migliaia di utenti.
In definitiva, il messaggio è solamente un tentativo di truffa, niente di più, ma di questo forse ne avete già sentito parlare.
I consigli
Se non state utilizzando la password che vi hanno mandato nelmessaggio, dovreste comunque fare uno sforzo e cercare di ricordare se questa password l’avete utilizzata in qualche altro account su qualche altro sito o programma. Molti utenti hanno l’abitudine, per questione di semplicità, di utilizzare la stessa password dappertutto, in modo tale da non doverne ricordare troppe. Se avete ancora in uso tale password su altri account, dovete cambiarla il prima possibile, in quanto non è detto che prima o poi qualcuno tenti una truffa utilizzando magari il vostro account Facebook, o Paypal, o Amazon o eBay, ecc….
In definitiva, cambiate le password degli account che ancora hanno la password che vi viene mostrata e per il futuro cercate di avere password diverse per ogni sito. So che è complicato, ma potete utilizzare varie tecniche per rendere le vostre password facili da ricordare, come ad esempio aggiungere le iniziali del sito a cui vi dovete collegare all’inizio o alla fine della vostra password “standard”. Per esempio, se la vostra password è la vostra data di nascita potete utilizzare per Facebook Fb16121974 mentre per Linkedin Lk16121974.
L’ultimo consiglio è quello di verificare se la vostra email compare nei database delle password rubate su uno degli appositi siti, tra cui questo: https://haveibeenpwned.com/
Se invece, come altri ci hanno già chiesto, volete sapere quali password vi hanno rubato, c’è da spendere qualcosa, ma si può fare. Non esitate a contattarci!
Buon informatica a tutti
Ing. Massimiliano Zuffi