La Sextortion, o ricatto sessuale, consiste nel minacciare di rendere pubbliche le informazioni private di una vittima a meno che questa non paghi dei soldi all’estorsore. Si tratta di un fenomeno in grande crescita che si avvale di strumenti sempre più sofisticati, tanto che gli attacchi riescono spesso ad aggirare i gateway di posta.
I ricercatori di Barracuda hanno scoperto alcune allarmanti novità su questo fenomeno.
In passato, gli attacchi Sextortion erano lanciati prevalentemente sotto forma di imponenti campagne spam. Una recente analisi di Barracuda ha evidenziato come ora, invece, sia diventata una pratica molto diffusa adottatare un approccio di spear phishing: 1 su 10 degli attacchi di questo tipo lanciati ai clienti Barracuda era un ricatto o una Sextortion.
Lo spear phishing è un tipo di truffa mirata, che sfrutta email o altre comunicazioni elettroniche, personalizzate per indirizzarsi a una persona, un’organizzazione o un’azienda specifica.
Il tipico meccanismo dello spear phishing è quello di inviare un’email per indurre il destinatario a visitare un sito Web fittizio pieno di malware. Il carattere personalizzato dello spear phishing, rispetto allo spam (che prevede l’invio del medesimo messaggio idifferenziato a tutti), fa in modo che il destinatario si veda proposta una comunicazione e un sito Web più facilmente in linea con la sua attività di lavoro o con i suoi specifici interessi.
Questo signifca attacchi portati con maggiore dettaglio e personalizzazione che, di conseguenza, hanno più probablità di colpire con successo.
Come avviene una Sextortion
Nelle Sextortion il criminale usa il nome utente e la password sottratta durante una precedente violazione per contattare la vittima e convincerla a versare somme in denaro.
Il criminale afferma di essere in possesso, per esempio, di un video compromettente, registrato sul computer della vittima e minaccia, in caso di mancato pagamento, di diffonderlo ai suoi contatti.
Nella maggior parte delle Sextortion, i criminali usano email e password già in loro possesso per sfruttare la naturale preoccupazione della vittima di fronte a una minaccia.
Spesso, per rendere il tentativo più convincente, i criminali imitano l’indirizzo email della vittima fingendo di avervi accesso.
Il pagamento in genere viene richiesto in Bitcoin da versare su un portafoglio elettronico i cui dettagli sono inclusi nel messaggio.
Le email di Sextortion sono generalmente inviate a migliaia di persone per volta, all’interno di una più ampia campagna spam, per cui molte vengono fermate dai filtri antispam.
Tuttavia, come evidenzia l’indagine di Barracuda, questo tipo di attaccco è in costante evoluzione e utilizza schemi che lo rendono sempre più efficace.
Gli attacchi diventano più sofisticati
Sempre più frequentemente i criminali utiizzano email originate da mittenti o indirizzi IP che godono di buona reputazione, sfruttando account Gmail o Office 365 già compromessi, per aggirare i gateway per la sicurezza della posta.
Queste email sempre più spesso di norma non contengono quei link o allegati pericolosi che vengono bloccati dai sistemi di sicurezza.
I criminali hanno anzi iniziato a variare e personalizzare il contenuto delle email, rendendone ancora più difficile l’intercettazione da parte dei filtri antispam.
Peraltro, i team IT sono spesso inconsapevoli di questi attacchi perché gli utenti non riferiscono di avere ricevuto l’email, indipendentemente dal fatto che paghino o no la somma richiesta.
Questo perchè deelle Sextortion si tende a non parlare proprio a causa della natura sensibile e imbarazzante della minaccia.
Come riconoscere una Sextortion
La ricerca di Barracuda rivela che, nella maggior parte dei casi, l’oggetto della email contiene qualche forma di avviso legato alla sicurezza: più di un terzo, per esempio, invita a cambiare la password.
Spesso nell’oggetto appare l’email o la password del destinatario, per convincerlo ad aprire e leggere l’email.
Questi sono alcuni esempi di oggetto della email legato al tema della sicurezza:
- nome@indirizzomail.it è sotto attacco, cambia la password;
- Il tuo account è stato violato, devi sbloccarlo;
- Il tuo account viene usato da un’altra persona.
Di seguito, alcuni esempi in cui l’oggetto eeca l’invito a cambiare password:
- Devi cambiare immediatamente la password (password), il tuo account è stato violato;
- Gli hacker conoscono la tua password (password), devi cambiarla immediatamente.
In altri casi, nell’oggetto si fa riferimento a una richiesta di assistenza e talvlota i messaggi sono più diretti e usano frasi minacciose:
- Sei una vittima
- Faresti meglio a darmi retta
- Non ti è rimasto molto tempo
- Hai la possibilità di evitare problemi
- Questo è il mio ultimo avviso name@mailaddress.com
Secondo la ricerca di Barracuda, scuole e università sono i settori più presi di mira (più della metà degli attacchi). Seguono i dipendenti della pubblica amministrazione e, al terzo posto, le aziende di servizi.
La predilezione per il mondo della scuola non è casuale. Scuole e università in genere hanno molti utenti, spesso giovani, con poca esperienza e poco informati sulle problematiche della sicurezza, che non sanno a chi rivolgersi per ricevere assistenza.
Quattro suggerimenti per proteggersi dalle Sextortion
Intelligenza artificiale I criminali adottano le Sextortion per aggirare gli email gateway e i filtri antispam; pertanto è importante adottare una buona soluzione contro lo spear phishing capace di proteggere dalle email ricattatorie e dalle Sextortion. L’adozione di soluzioni che utilzzano tecnologie di IA, come Barracuda Sentinel, favoriscono l’individuazione e il bocco preventivo di questo tipo di attaccchi.
Protezione dal furto di account Molte Sextortion nascono da account compromessi. E’ dunque essenziale prima di tutto accertarsi che i criminali informatici non stiano usando la vostra azienda come piattaforma per il lancio di questi attacchi. A tal fine è importante utiizzare soluzioni tecnologiche (anche in questo caso l’IA aiuta) in grado di capire quando un account è stato compromesso e di eliminare le email inviate dagli account compromessi.
Investigazioni proattive Data la natura del fenomeno, chi ne è colpito in azienda tende a non essere disposto a riferire questi attacchi. Un suggerimento è di condurre regolarmente ricerche sulle email ricevute per individuare quelle contenenti inviti a cambiare password, avvisi di sicurezza e contenuti simili. Molte di queste mail hanno origine al di fuori del Nord America e dell’Europa. E’ importante cercare di capire dove hanno origine le email che entrano nel sistema di posta aziendale, esaminare quelle sospette e agire di conseguenza.
Formazione Formare gli utenti è fondamentale, soprattutto se si tratta di una base di utenti ampia e diversificata. Si deve insegnare allo staff come riconoscere gli attacchi, come comprenderne la natura fraudolenta e di non avere paura a riferirli. Strumenti di simulazione, come Barracuda PhishLine, possono essere utilizzati per misurare l’efficacia della formazione e valutare gli utenti più vulnerabili ai tentativi di estorsione.