Il sextortion è una truffa online utilizzata dai cyber-criminali per estorcere denaro alle proprie vittime mediante ricatti sessuali effettuati sui social network o attraverso finte e-mail minatorie.
In alcuni casi, la sextortion può non essere finalizzata a ottenere un riscatto in denaro, ma a terrorizzare letteralmente la vittima con le minacce di diffusione dei contenuti hard (come ad esempio nel revenge porn o nei casi di cyberbullismo). Questo tipo di pratica rientra nella violenza psicologica online, è anch’essa considerata un crimine (quindi è punibile dalla legge).
Sextortion usando i social network
In questo caso la vittima viene contattata via Facebook (o su altri social media) da una persona che si nasconde dietro a un profilo fake (solitamente con foto di donne/uomini avvenenti, le esche sessuali). Una pratica nota come Romance Scam, truffa romantica, o Catfishing.
Nel momento in cui il rapporto diventa più confidenziale, la conversazione si sposta su una applicazione di chat e messaggistica istantanea.
Da qui l’obiettivo è indurre la vittima a fare del cybersesso, avvalendosi anche della webcam, con lo scopo di ottenere una nutrita collezione di foto e video osé.
Raggiunto lo scopo la scena cambia: l’adescatore sparisce e al suo posto compare una richiesta di riscatto.
La minaccia è di pubblicare le immagini compromettenti sul social network.
E si tratta purtroppo di una minaccia reale, perché la truffa ha avuto inizio concedendo l’amicizia all’adescatore sul social network. Quindi questo ora conosce la lista di tutti i suoi contatti.
Come sono scelte le vittime
La vittima non è scelta casualmente, bensì in base alla sua situazione familiare e alla carica che ricopre. Per esempio un uomo sposato con figli o un professionista sono tra le vittime preferite.
Informazioni presenti sui Social perché la vittima stessa le ha fornite sul suo profilo.
Questo persone offrono teoricamente ai cyber-criminali una maggiore “garanzia” per il pagamento del riscatto senza denunciare l’accaduto per nascondere le foto e i video.
Sextortion usando le e-mail
In questo caso tutto ha inizio con una e-mail in cui alla vittima viene detto che il suo account di posta elettronica è stato violato (in gergo hackerato).
La e-mail, che può essere in inglese o italiano, inizia presentando alcune informazioni personali, come una password o il numero di telefono. Questo non rappresenta però l’elemento “intimidatorio”.
La e-mail prosegue indicando alla vittima di essere in possesso di sue registrazioni mentre visitava un sito porno (senza specificare quale sia il sito).
Registrazione possibile perché il cyber-criminale sarebbe riuscito a installare un virus (un trokan) sul computer della vittima.
Un virus che avrebbe consentito di:
- rubare tutti i dati personali, -mail dei contatti e cronologia della navigazione
- ottenere il completo controllo del dispositivo, webcam compresa.
A questo punto scatta il ricatto. Se non si vuole che tali registrazioni vengano rese pubbliche e inviate ai contatti, la vittima viene “invitata” a trasferire entro 24/48 ore una somma di denaro in bitcoin (la moneta digitale) a un wallet anonimo.
Anche in questo caso si tratta di una truffa, una massiccia attività di spamming a scopo estorsivo che periodicamente si ripresenta. Nota da anni alla Polizia Postale (fin dal 2016, con un aumento nella diffusione dal luglio 2018).
Come sono scelte le vittime
In questo caso i destinatari sono scelti casualmente, partendo da grossi database contenenti le nostre informazioni recuperate grazie alla ripetute violazioni dei molteplici siti a cui siamo iscritti.
Pacchetti di dati che poi vengono venduti (o si trovano gratuitamente) sul mercato nero della Rete (in certi casi anche vecchie di qualche anno).
I cyber-criminali sanno che il solo Pornhub è stato visitato 42 miliardi di volte nel 2019, con 39 miliardi di ricerche e 115 milioni di visite quotidiane. Normale sperare, con questi numeri, che qualcuno venga messo in imbarazzo dalla richiesta e decida di pagare.
«Attenzione. Nulla di tutto ciò è reale: rappresenta un’invenzione dell’autore del reato, elaborata per spaventarci e indurci a pagare la somma illecita. È tecnicamente impossibile, infatti, che chiunque, pur se entrato abusivamente nella nostra casella di posta elettronica, abbia potuto, per ciò solo, installare un virus in grado di assumere il controllo del nostro dispositivo, attivando la webcam o rubando i nostri dati»
Polizia Postale
Come difendersi
Nel caso in cui il tentativo di estorsione avvenga tramite i social network il primo consiglio per prevenire è diffidare dai profili che non conosciamo. In modo particolare quando sono profili praticamente “vuoti”, ovvero scorrendoli non si trova una storia, né post precedenti.
Spesso c’è solo la foto di una bella ragazza o di un bel ragazzo, che si presenta come “Single” e poco più.
Il fatto che qualche nostro contatto compaia nella lista delle “amicizie in comune” non significa nulla: potrebbe esserci cascato anche lui. E noi potremmo, accettando l’amicizia, indurre in errore qualche altro nostro contatto.
Se invece siamo caduti in trappola è di estrema importanza denunciare l’accaduto alla Polizia Postale.
La parola all’esperto
Qualora invece il tentativo di estorsione abbia inizio con una e-mail, risultano utili i consigli della Polizia Postale:
- Mantenere la calma: il criminale non dispone di alcun filmato che ci ritrae in atteggiamenti intimi né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di nostri amici o parenti;
- Non pagare assolutamente alcun riscatto: l’esperienza maturata con riguardo a precedenti fattispecie criminose (come #sextortion e #ransomware) dimostra che, persino quando il criminale dispone effettivamente di nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, volte ad ottenere ulteriore denaro;
- Proteggere adeguatamente la vostra email (ed in generale i nostri account virtuali):
- Cambiare, se non si è già provveduto a farlo, la password, impostando password complesse;
- Non utilizzare mai la stessa password per più profili;
- Abilitare, ove possibile, meccanismi di autenticazione “forte” ai vostri spazi virtuali, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare.
Altri suggerimenti
Aggiungo che potrebbe essere utile:
- segnalare la mail come spam o phishing (aiuterà chi gestisce la nostra casella di posta a evitare che arrivi ad altri);
- non rispondere per alcuna ragione a questa mail, altrimenti confermeremo l’indirizzo email attirando ancor più l’attenzione dei cyber-criminali;
- prendiamo nota della password inviata nell’e-mail di ricatto e cambiamola immediatamente in qualsiasi sito in cui la stiamo utilizzando;
- non lasciamo mai i nostri dispositivi incustoditi e non clicchiamo per alcuna ragione su link o allegati di posta elettronica sospetti (a volte indicati come prova per verificare personalmente l’esistenza del video compromettente). Questi ultimi infatti potrebbe infettare il computer con virus, malware e ransomware (programmi che danneggiano il computer o che lo bloccano in attesa di una sorta di riscatto). Per funzionare però questi programmi devono essere scaricati: se non li scarichiamo, non abbiamo di che preoccuparci.
I numeri del guadagno
Si tratta di truffe che fanno registrare un proficuo giro di affari e con costi, come il rischio di essere scoperti, che sono bassissimi per i cyber-criminali.
Basti pensare che da studi condotti nel 2019 da Malwarebytes Labs, la campagna di sextortion via e-mail attiva tra il 1° febbraio 2019 e il 13 marzo 2019, ha raccolto un totale di 21,6847451 BTC. Poco più di $ 220.000 ai tassi di cambio correnti.
Le denunce ci sono, e i numeri sono preoccupanti, ma da come ritiene la Polizia Postale sono numeri per difetto poiché reputa che solo il 10% delle vittime presenta denuncia, per timore di uno scandalo o per vergogna.
Il miglior consiglio resta sempre quello di evitare di esporci mettendo a disposizione nostri dati o immagini. Cerchiamo di tutelare noi stessi e di proteggere i nostri dati.
Buon giorno, Sono stata vittima di un sexstorsion. Dopo aver intrecciato una breve amicizia relazione in rete convinto di essere già una coppia e chiedendo foto sexy ha subito dopo poco tempo richiesto denaro adducendo che era in difficoltà xche nn poteva pagare hotel arrivato in Costa d’avorio con il figlio. Nonostante le molte incongruenze e sospetti ho purtroppo dato mie foto e da qui il ricatto di divulgare in rete e su tutti i canali e miei followers. Un accanimento e cattiveria incredibile dicendo che fosse il mio peggiore incubo mi ha richiesto la somma prima di 1200 e poi ha aumentato a 3500.
Lho bloccato su tutti i canali.
Spero che finisca tutto bene.