Qualche giorno fa il ricercatore di sicurezza Troy Hunt ha denunciato il primo, gigantesco, data breach del 2019: Hunt ha rinvenuto online la cartella Collection n.1, contenente 12.000 file per un peso complessivo di 87 Gb. Stiamo parlando di 2.7 miliardi di indirizzi email e password, postate prima su un servizio in cloud (MEGA), quindi su un popolare sito di hacking. Complessivamente sono invece 1 miliardo le combinazioni complete di email+password: un vero e proprio arsenale di indirizzi email utilizzabili dai cyber criminali nelle più svariate maniere.
Per approfondire >> Ecco il primo "major data breach" del 2019
Italiani sotto attacco
Che la notizia fosse ghiotta, per i cyber attaccanti, era più che scontato: un arsenale tale di credenziali apre ad infinite possibilità di utilizzo. Non è chiaro chi vi sia dietro all'attacco, ma è stata già individuata una campagna specifica contro utenti italiani che sfrutta appunto i dati contenuti in Collection n.1: parliamo nel dettaglio di una truffa con ricatti a sfondo sessuale.
L'ondata di email che ha investito gli utenti italiani ha caratteristiche peculiari e ricorrenti: i truffatori affermano di aver preso possesso del computer della vittima, di aver rubato tutti i contatti, di essere entrati in possesso della cronologia degli accessi a siti pornografici e, infine, di avere a disposizione un video compromettente ripreso tramite la webcam della vittima, anch'essa hackerata. L'email, ulteriore particolarità, proviene dall'email stessa della vittima: una tecnica per convincere ulteriormente il malcapitato della realtà della violazione del computer. La richiesta dei ricattatori è piuttosto facile da immaginare: se la vittima vuole che "il segreto" rimanga tra lui e l'attaccante, dovrà pagare un riscatto in Bitcoin.
ATTENZIONE:
come già ribadito qualche giorno fa, in occasione di una precedente campagna del tutto simile, questa è una bufala. Nessun attaccante ha avuto accesso al computer delle persone che ricevono tale email: non esistono quindi filmati compromettenti di alcun tipo. Siamo di fronte ad una tecnica di ingegneria sociale, finalizzata a creare panico e ansia nella vittima, renderla meno lucida e quindi più disposta a pagare.
Ecco un esempio di email fake a scopo ricattatorio
Che cosa fare?
Ovviamente non c'è alcun riscatto da pagare. Probabilmente, l'unica violazione avvenuta davvero è quella del tuo account email. Troy Hunt, il ricercatore che ha individuato questo enorme database, gestisce due servizi web tramite i quali è possibile verificare la presenza sia del nostro indirizzo email sia della nostra password in precedenti data breach: Hunt stesso ha fatto sapere di aver già aggiunto, ai data breach passati, anche tutti i dati contenuti in Collection n°1.
Visita il sito Have I Been Pwned e digita il tuo indirizzo email. Il sito ti indicherà se il tuo indirizzo è stato compromesso con questo databreach (o con altri precedenti).
Nel sito Pwned Passwords potrai invece verificare se la tua password è stata compromessa. Qualora la password risultasse violata, il consiglio è di modificarla su tutti gli account in cui è in uso e di non usarla mai più.