Non Aprite Quella Posta

Diamo il via a questa rubrica con un grande classico del mailspam: le accuse di pedo-pornofilia Questo messaggio l’abbiamo visto girare per la prima volta nell’estate del 2021, ma come le comete o la sciatalgia, ricompare di quando in quando.
Il testo, solitamente prolisso, varia leggermente da versione a versione, ma lo “schema narrativo” è sempre lo stesso:

1. l’attaccante afferma di aver infettato il PC della vittima;
2. porta, a riprova di ciò, il fatto che l’indirizzo da cui proviene il messaggio è proprio quello della vittima;
3. afferma che, avendo il controllo totale del PC, ha potuto registrare con la web-cam le perverse attività dell’utente;
4. chiede il pagamento di un riscatto in Bitcoin per non inviare i video ad amici e colleghi della vittima.

Ovviamente si tratta di un falso. Il fatto che il messaggio arrivi apparentemente dall’indirizzo della vittima è un trucchetto che non richiede particolari competenze informatiche e che può essere svelato esaminando di dati di invio del messaggio:

Received: from ip-10-112.dataclub.eu (localhost [127.0.0.1])
	by retailsportsmarketing.com (8.14.7/8.14.7) with ESMTP id 4BC1gMqZ011150
	for <[email protected]>; Wed, 11 Dec 2024 20:42:22 -0500
From: "[email protected]"<[email protected]>
To: [email protected]
Subject: I HAVE A BADNEWS FOR YOU
Date: 12 Dec 2024 02:46:40 +0100
Authentication-Results: spf=fail (sender IP is 81.17.30.201)
 smtp.mailfrom=tacun.it; dkim=none (message not signed)
 header.d=none;dmarc=fail action=none header.from=tacun.it;compauth=fail
 reason=601

Il valore del campo Received indica che il messaggio non arriva dal dominio tacun.it, ma da retailsportsmarketing.com; il valore compauth=fail nella sezione Authentication-Results, indica che il messaggio ha una provenienza sospetta. Questo basta, di solito, a farlo finire fra lo SPAM - o, ancora meglio, in quarantena, dove non può fare danno; ma anche se ve ne trovaste uno nella posta in arrivo non vi spaventate, perché questi messaggi non contengono né allegati né link malevoli, dato non avrebbe senso bloccare il computer con cui deve essere pagato il riscatto.

Corpo del messaggio

Come gli standard jazzistici, il testo di questo tipo di messaggi nasce da uno schema noto, che ciascun “autore” interpreta a modo suo. C’è chi redarguisce, chi suggerisce la castità, chi più pragmaticamente, consiglia di coprire la telecamera del PC quando si fanno certe cose…. Personalmente, i messaggi che preferisco sono quelli che spiegano l’attacco utilizzando in maniera del tutto insensata il termine driver:

Mẏ custом vіruѕ cоntіnuouslẏ upԁаtеs іts ѕіɡոаtureѕ (vіa ԁriver), mаƙing іt iмроsѕible fоr аոy аոtіviruѕ softԝarе to detеϲt.

Questa affermazione non ha alcun senso, a più livelli di lettura; è solo un tentativo cialtrone di mischiare le carte in tavola, sperando che la persona che legge non sappia di cosa si sta parlando. (Per inciso: notate come alcune lettere - м, ẏ, ԁ - non siano quelle dell’alfabeto latino, ma appartengano all’alfabeto Cirillico..)
Come esempio, comunque, ho scelto un testo che appartiene al filone pseudo-moralista: ti spio, ti ricatto, ma allo stesso tempo ti faccio la paternale perché ti trastulli in solitario:

Sarò diretto. Guardi spesso contenuti per adulti e ti ho sorpreso a masturbarti Tutti lo facciamo di tanto in tanto. Come ho fatto? Il tuo router era vulnerabile. Sono riuscito a iniettare del codice nel firmware e ogni dispositivo connesso alla rete, compresi i telefoni, è stato compromesso. Poi ho impostato ogni dispositivo disponibile per registrare con la videocamera solo quando si guardano contenuti per adulti. Ho anche ottenuto i tuoi elenchi di contatti, i numeri di telefono, le e-mail, i contatti dei social media, ed ecco l'accordo. Se non mi paghi 3.700 dollari in Bicoin, invierò il tuo video di masturbazione, la cronologia delle ricerche e tutte le tue chat private a tutti i tuoi contatti e a tutti i social media.
Indirizzo Bitcoin: 1ApE5EUheqimvnqvKdYcf9n3Psb6Kr69Ui
IMPORTO: 0,04 BTC
Copia perfettamente l'indirizzo, senza errori Suggerimento rapido:: puoi facilmente acquistare bitcoin qui: paxful, htx, binance okx, coinbase, o controllare il bancomat bitcoin vicino a te, o Google per altri scambi. È possibile inviare il bitcoin direttamente al mio portafoglio, o creare il proprio portafoglio prima qui: blockchain, quindi ricevere e inviare a mine, o scambiare moneta a BTC. Inoltre, cerca cos'è il "No FAP" e leggi i benefici dell'assenza di PMO. Guardare porno sporchi è uno spreco di tempo, energia e minerali del corpo. Spero che ci penserai molto seriamente. Se vi chiedi perché i tuoi antivirus non si sono attivati, è perché il mio codice non è impostato per rubare password, codici PIN e altri dati sensibili. L'unica funzione è quella di registrare con le telecamere (in modalità silenziosa) e catturare i contatti. So che hai la somma di denaro richiesta. Quindi non preoccuparti delle tue password e dei tuoi conti bancari. Tuttavia, per la tua tranquillità mentale, cambiali pure. Hai 8 GIORNI per inviare il pagamento. Quando le monete saranno inviate, il video con te che fai, sai cosa, sarà distrutto e non avrai mai più mie notizie. La prossima volta, copri la telecamera, qualcuno potrebbe guardarti! Limitati a una volta al mese, se non riesci a fare completamente NO FAP.

Conclusioni

Questo tipo di messaggi non è intrinsecamente pericoloso e non indica una violazione dei sistemi. È possibile che si ripresenti nel tempo, con forme e contenuti variabili. L’indirizzo del mittente, molto spesso, coincide con quello della vittima, ma non sempre. Il testo, di solito, è in Inglese, ma se ne trovano copie anche nella lingua di Dante. Lo stile è quasi sempre dadaista, con affermazioni che sarebbero state inaccettabili anche in un film con Hugh Jackman. Se ne doveste ricevere uno, cestinatelo senza pietà, ma, dopo, chiedetevi: Ci saràs qualcuno che ha pagato?
A presto.

Indicatori di compromissione