Continuiamo con l’elenco delle truffe online più comuni.
Le precedenti puntate sono: [Introduzione, Truffe sull’acquisto di beni e/o servizi; E-mail di phishing e Truffe a sfondo romantico o relative a rapporti personali]

Truffa del “porno ricatto”
Una truffa abbastanza recente (pochi anni), il “porno ricatto” è un tentativo di spillare danaro con una storia fantasiosa, impossibile, ma contemporaneamente abbastanza “credibile”. Cosa faremmo se ricevessimo un’e-mail da qualcuno che afferma di aver violato il nostro computer installando un RAT (Remote Access Trojan, un programma che consente l’accesso ad un computer da parte di malintenzionati online) durante la nostra visita ad un sito Web, e di averci registrati tramite la nostra webcam mentre eravamo impegnati nella visita di siti porno? Cosa faremmo se la minaccia fosse quindi quella di inviare il video a tutti gli indirizzi del nostro programma e-mail ed ai contatti dei social media se non paghiamo un riscatto di poche centinaia di Euro tramite Bitcoin? E quanto sarebbe credibile questa minaccia se l’email venisse proprio… da uno dei nostri indirizzi email?

Una situazione imbarazzante ed angosciante, in particolare con il peso di questa “prova” (il nostro indirizzo e-mail utilizzato come mittente) dell’accesso effettivo al nostro computer.

Ma ci sono diverse indicazioni che questa non sia altro che una truffa, fatta sperando di coinvolgere frequentatori attivi di siti porno (un gruppo demografico facile da prendere di mira tramite e-mail di massa dato che il sito porno più grande del mondo, Pornhub.com, riceve 75 milioni di visitatori AL GIORNO).

Innanzitutto, non c’è nulla nell’email che dimostri che chi scrive sappia qualcosa su di noi personalmente (nome, cognome, età…), tranne appunto l’indirizzo email. Ma inviare una email “mascherando” il mittente con un indirizzo che non è quello effettivo da cui parte la comunicazione, è operazione relativamente semplice, anche se moltissimi non lo sanno e non se lo aspettano. Questi signori non sono entrati nel nostro computer e non hanno accesso al nostro programma email: si sono semplicemente presentati con una ottima maschera, molto “credibile” ma assolutamente falsa. La prova della email però, unitamente all’imbarazzo per il tema trattato, attira la nostra attenzione distogliendola da altre caratteristiche che mostrano la falsità della tentata truffa, che altrimenti sarebbero più evidenti.

Non ci sono dettagli circa quale sito presumibilmente abbiamo visitato e quando.

Non viene fornito il video, o almeno uno screenshot di quanto sostengono di aver registrato. In effetti, ci scoraggiano esplicitamente dal chiedere una prova, minacciando di condividere dette “prove” con i nostri “amici, conoscenti e colleghi” se chiediamo. Questo è completamente contrario a come si comporterebbe un vero hacker/ricattatore: se volessimo spaventare qualcuno per farlo pagare, la prima cosa che dovremmo fare sarebbe mostrargli uno screenshot compromettente per dimostrare che la nostra minaccia è molto, molto reale.

Un’altra prova della falsità delle affermazioni del truffatore è che eseguendo una scansione del nostro computer con strumenti antimalware, non viene rilevato alcun trojan, alcun RAT. Gli strumenti antimalware non sono perfetti, ma quelli migliori certamente sono in grado di individuare il tipo di strumento di amministrazione remota descritto nell’email.

Eseguendo ricerche sul Web, ci sono segnalazioni di persone che hanno ricevuto truffe e-mail simili, risalenti almeno al 2018. Il testo dell’email varia, incluso il luogo da cui i truffatori affermano di provenire, la natura della loro minaccia e la quantità di denaro richiesta.

Come difendersi da questa truffa? Non rispondendo alla email, e rendendosi conto del fatto che non si tratta di un rischio reale.

Falsa raccolta fondi.

La maggior parte delle tecniche di truffa in questo campo sono studiate per giocare sulle emozioni delle persone e per favorire e sfruttare la perdita della capacità di prendere decisioni logiche. Ecco come funziona la truffa della falsa raccolta fondi: i criminali informatici organizzano una raccolta fondi online, basata su una elaborata “storia strappalacrime”, incoraggiando i visitatori a fare donazioni per una falsa causa. Vengono talvolta appositamente creati siti web apparentemente riconducibili ad enti ospedalieri o accreditati da falsi patrocini di Istituzioni o Enti Pubblici (Regioni – Comitati vari). Il modus operandi dei cybercriminali, che in particolare negli ultimi tempi fa leva sul generale e diffuso sentimento di vicinanza della cittadinanza al personale medico ed infermieristico, incessantemente impegnato nella lotta al Covid-19, comprende quasi sempre la proposta di effettuare dei versamenti di denaro e/o bonifici su IBAN legati a conti correnti o carte ricaricabili attivati ad hoc.

A volte i truffatori sono persone reali, verificabili, in alcuni casi anche persone note, che possono essere contattate via email e telefonicamente per ricevere assicurazioni sulla bontà ed autenticità della raccolta fondi. Salvo che poi, i soldi versati non vanno per nulla, o non vanno tutti, all’associazione infermieristica, all’orfanotrofio, ai bambini di strada, alla ONLUS, all’ospedale in Africa, che vengono presentati come beneficiari.

Molti sono i servizi del noto programma Le Iene o di Striscia La Notizia che hanno messo in dubbio e smascherato simili elaborate raccolte di fondi senza beneficiari reali.

E.P.