“Paga o manderemo dei video che ti ritraggono mentre guardi dei porno a tutti i tuoi contatti”. Inizia così una delle mail che nessuno vorrebbe ricevere e che migliaia di utenti si sono visti recapitare nelle ultime settimane nelle proprie caselle di posta elettronica. E se la buona notizia è che si tratta solo di un infondato raggiro (gli attaccanti non sono in possesso di alcun video), la brutta - non poteva non essercene una -, è che i bersagli di questa truffa sono gli utenti coinvolti in un massiccio furto di dati ai danni della piattaforma Linkedin avvenuto nel 2012, come segnalato dalla società canadese di cybersecurity ThreeShield.
Cosa c’entra Linkedin
Tutto ha avuto inizio sei anni fa, quando degli hacker sono riusciti a impossessarsi delle informazioni di 6,5 milioni di utenti Linkedin, poi messe in vendita su dei forum russi. I dati conservati dal social network erano stati debolmente protetti e quindi erano particolarmente ambiti dai pirati informatici. Oggi si apprende che un altro archivio di dati, risalente allo stesso furto e che riguarda più di cento milioni di utenti, è stato reso pubblico. Linkedin ha provveduto a imporre il reset delle password degli utenti coinvolti, ma il pericolo riguarda prima di tutto chi utilizza la stessa chiave d’accesso per più servizi.
Cosa fare e non fare
“Conosco la tua password e ho installato un malware su un sito per adulti”. Si chiama “sextortion” (estorsione sessuale), ed è una tecnica di ricatto che colpisce dove siamo più fragili: nella sfera dell’intimità. Ma in questo caso le minacce servono solo a terrorizzare e indurre l’utente a pagare senza pensarci due volte. In realtà i truffatori non hanno alcun materiale compromettente sul bersaglio, e stanno solo cercando di manipolarlo per ottenere il pagamento.
Minaccia falsa dunque, ma chiavi d’accesso vere. Ragione per la quale è indispensabile smettere di utilizzare quelle password e, cosa più importante, smettere di utilizzare la stessa per più servizi online. Tipicamente infatti gli hacker che entrano in possesso di una mail e di una password vanno a tentativi fino a che non trovano un servizio per il quale l’utente abbia usato la stessa chiave di autenticazione. Modo in cui riescono ad accedere alle caselle di posta elettronica o ad altri profili sui social network.
Finora questa nuova truffa ha fruttato agli attaccanti più di 32 mila euro, ricevuti in bitcoin su almeno nove account tracciati da ThreeShield.
Per questo sarebbe bene adottare alcune misure di protezione del proprio ambiente digitale:
1. Utilizza l'autenticazione a due fattori ovunque sia possibile. Qui di seguito i link ad alcuni dei servizi online più diffusi che offrono questo servizio:
2. Utilizza un gestore di password come KeePass o LastPass, per generare codici di accesso casuali. L’utente dovrà solamente copiare e incollare le password senza doverle ricordare.
3. Cambia le tue password ogni volta che ricevi una notifica di violazione o almeno una volta all'anno. Gli utenti di LinkedIn che l'hanno fatto nel 2012 sono stati protetti per un massimo di 4 anni in più rispetto a quelli che non lo hanno fatto.
4. Verifica se il tuo account è stato coinvolto in un furto di dati utilizzando il servizio Have I Been Pwned.