Mail ricatto: abbiamo i tuoi dati

Questa mail è un po’ vecchia, come al solito, quando partono questi attacchi a tappeto ci vuole un po prima che arrivi (se arriva).
Tempo fa girava una mail dove un sedicente gruppo di hacker sosteneva di essere in possesso della cronologia di navigazione su siti poco casti del mittente in oggetto e dicevano anche di possedere le immagini catturate dalla webcam relative al momento in cui l’utente visitava tali siti, in quanto si presume che non stesse semplicemente mangiando le patatine nel frattempo.

Questo il testo della mail:

Salve!
Come avrai già indovinato, il tuo account daniele.argento@*********.it è stato hackerato, perché è da lì che ho inviato questo messaggio. :(
Io rappresento un gruppo internazionale famoso di hacker.
Nel periodo dal 22.07.2018 al 14.09.2018, su uno dei siti per adulti che hai visitato, hai preso un virus che avevamo creato noi.
In questo momento noi abbiamo accesso a tutta la tua corrispondenza, reti sociali, messenger.
Anzi, abbiamo i dump completi di questo tipo di informazioni.
Siamo al corrente di tutti i tuoi "piccoli e grossi segreti", sì sì... Sembra che tu abbia tutta una vita segreta.
Abbiamo visto e registrato come ti sei divertito visitando siti per adulti... Dio mio, che gusti, che passioni tu hai... :)
Ma la cosa ancora più interessante è che periodicamente ti abbiamo registrato con la web cam del tuo dispositivo, sincronizzando la registrazione con quello che stavi guardando!
Non credo che tu voglia che tutti i tuoi segreti vedano i tuoi amici, la tua famiglia e soprattutto la tua persona più vicina.
Trasferischi 300$ sul nostro portafoglio di criptovaluta Bitcoin: 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP
Garantisco che subito dopo provvederemo a eliminare tutti i tuoi segreti! 
Dal momento in cui hai letto questo messaggio partirà un timer.
Avrai 48 ore per trasferire la somma indicata sopra.
Appena l'importo viene versato sul nostro conto tutti i tuoi dati saranno eliminati!
Se invece il pagamento non arriva, tutta la tua corrispondenza e i video che abbiamo registrato automaticamente saranno inviati a tutti i contatti che erano presenti sul tuo dispositivo nel momento di contagio!
Mi dispiace, ma bisogna pensare alla propria sicurezza!
Speriamo che questa storia ti insegni a nascondere i tuoi segreti in una maniera adeguata!
Stammi bene!

I periodi corrispondono in quanto mi è arrivata, come dicevo, un po’ di tempo fa.
Andiamo a vedere però i punti singolari della mail.

Io rappresento un gruppo internazionale famoso di hacker

Così famoso che non dice neanche il nome (Anonymous? Chaos Computer Club? Cult of the dead cow? Lulz security? I teletubbies?).

Anzi, abbiamo i dump completi di questo tipo di informazioni.

Uso fazioso e pacchiano del termine dump per far vedere che loro sono professionisti, perciò usano il gergo tecnico.

Dal momento in cui hai letto questo messaggio partirà un timer.

Il messaggio non richiedeva una ricevuta di lettura perciò come facevano a far partire il timer? Non c’erano neanche contenuti come immagini o simili che potevano essere scaricati da un sito e far partire il timer presso i server degli “hacker”.

Se invece il pagamento non arriva, tutta la tua corrispondenza e i video che abbiamo registrato automaticamente saranno inviati a tutti i contatti che erano presenti sul tuo dispositivo nel momento di contagio!

Perché “sul dispositivo” e non “nella rubrica”?

Inoltre l’oggetto recitava:

Elimina questo messaggio subito dopo la lettura!

Perché lo devo eliminare con il rischio che mi perdo l’indirizzo bitcoin?

Ovviamente, come hanno detto tutte le persone competenti che hanno trattato l’argomento, è tutto finto, nessuno ha niente su di voi.
Il fatto su cui fanno leva loro per farvi abboccare è il fatto che la mail viene dal vostro indirizzo.
Chi è un minimo familiare con il protocollo SMTP sa benissimo che non c’è niente di anomalo.
Spiego velocemente. Quando una mail viene inviata ha vari campi, tra cui quello che ci interessa in questo articolo: MAIL FROM. Questo campo risiede nell’header e contiene l’indirizzo email effettivo del mittente e, nel nostro caso, anche del destinatario. Per tutto un discorso complesso di configurazione, deve essere un indirizzo accettato dal servizio di invio mail e soprattutto deve essere un indirizzo non sospetto per il nostro server di posta altrimenti un eventuale filtro antispam potrebbe cestinare la mail (oppure piazzargli una bella etichetta [SPAM] come ha fatto il nostro server aziendale), però è proprio questo che ci servirà per fare la magia.

Vediamo come si può replicare l’attacco. Per fare questo dovete trovare un server che accetta relay di posta, è molto difficile oggi come oggi per via dell’alto numero di spammer in circolazione perciò molto probabilmente la cosa migliore è installare Postfix sulla vostra macchina (o un MTA relativo, se avete debian va benissimo exim4).
Non mi perdo nella configurazione perché è un bagno di sangue e vorrei lo faceste voi in prima persona perché sarebbe un ottima palestra, se volete un infarinatura, leggete il mio articolo su come creare un mail server in casa.
Una volta installato e configurato il mail server, andiamo a connetterci usando telnet, un vecchio protocollo per connessioni TCP insicure ai vari servizi. Il server SMTP ascolta sulla porta 25 perciò il comando sarà il seguente:

telnet localhost 25

Se tutto è andato bene ora saremo davanti ad una shell pressoché muta.
Presentiamoci al server con il seguente comando:

helo lamer

Ovviamente al posto di lamer possiamo mettere quello che vogliamo (salvo particolari configurazioni dell’MTA).
Andiamo ora ad impostare il mittente:

MAIL FROM: mail@mail.it

Qui c’è la chiave di tutto, questo indirizzo dovrà essere lo stesso del destinatario ma dovrete configurare l’MTA per accettare tutti i tipi di indirizzi.
Ora andiamo ad inserire il destinatario:

RCPT FROM: mail@mail.it

Qui mettiamo la mail del destinatario.
Adesso cominciamo a scrivere il corpo della mail, perciò diamo la seguente istruzione:

DATA

E’ il momento i inserire il soggetto e lo faremo così:

Subject: questa è una mail ricatto

Ora inseriamo il testo della mail

Questo è il testo di una mail ricatto.

Una volta finito il testo, possiamo inviare la mail. Per fare ciò dobbiamo inserire un punto su una riga da solo, in questo modo:

.
Così invierà la mail.

NON C’È UN ALTRO MODO PIÚ SEMPLICE?

Se la hacker way non vi piace o non vi interessa c’è un sito che vi permetterà di inviare mail con destinatario inserito a mano ed è questo qui.

C’È CHI CI CASCA?

Possiamo scoprirlo. Il riscatto va pagato in bitcoin, bitcoin si appoggia sulla tecnologia della blockchain e, vista la caratteristica di tale tecnologia, possiamo controllare quanto i “pirati” hanno sul loro wallet.
Basta connettersi ad un sito che permette di controllare la blockchain, possiamo ad esempio andare a questo indirizzo;
Nel momento in cui sto scrivendo il loro wallet vanta 28 transazioni per un totale di 1.02188739 BTC che, al cambio attuale, valgono ben 3218,25€.
Tra l’altro, se vedete la sezione “Transazioni” potete vedere che stanno spostando i bitcoin in altri indirizzi, probabilmente stanno facendo un Bitcoin laundry.

COME DIFENDERSI

In questo caso non c’è niente da cui difendersi perché è semplicemente un bluff che punta sulla paura.
In ogni caso questo non è un attacco impossibile. Lo scenario in cui si installa sul nostro computer un virus in grado di registrare la nostra cronologia di navigazione e di acquisire le immagini dalla webcam è molto comune.
Il servizio di sicurezza Prey dispone di un agent che fa proprio questo; travestirlo da virus è cosa che può fare anche un programmatore mediocre.
La cosa più importante per difendersi da tali pericoli è sicuramente il buon senso, sembra che il 90% delle violazioni informatiche sia causato dall’utente che clicca su un link ricevuto in una mail di phishing, perciò non cliccate mai su link contenuti in email di cui non siate al 1000% sicuri (non è un errore di scrittura, intendo proprio mille per cento).
Un altra cosa da fare è tenere l’antivirus aggiornato, personalmente su windows, oltre che all’antivirus, tengo anche windows defender attivo e aggiornato (deve però poter convivere con il vostro antivirus).
In ultima cosa, il mio consiglio personale, è quello di mettere un adesivo davanti alla webcam. Fate caso a quante volte avete usato la webcam sul vostro portatile, personalmente non la uso da anni. Basta un normale pezzo di scotch (ovviamente non trasparente). Se siete attenti allo stile alcuni siti (anche per autofinanziarsi) vendono dei set di stickers da mettere sulla webcam, tipo la Electronic Frontier Foundation, oppure la Free Software Foundation.
Se invece avete bisogno comunque di poter usare la webcam alcune volte, ci sono dei copri webcam con lo slide, tipo questi.