Campagna di Cyber Estorsione basata sull’archivio Breach Compilation

05/10/2018

CyberEstorsione phishing

I Ricercatori Cybaze ZLab hanno individuato una nuova campagna di estorsione correlata al fenomeno della Sex Extorsion basata sull’archivio Breach Compilation.

I truffatori per veicolare la campagna di estorsione, stanno sfruttando le credenziali presenti nell’archivio “Breach Compilation”, un archivio contenente circa 1,4 miliardi di credenziali composte da indirizzi email e password raccolte nel tempo a seguito di una serie di violazioni.

Ad oggi non è chiaro se gli aggressori hanno creato un pool di email per veicolare la campagna di estorsione, oppure stanno sfruttando le credenziali presenti nell’archivio “Breach Compilation” per tentare di accedere agli account di posta elettronica e usarli per inviare i messaggi di estorsione/spam.

Nell’immagine seguente è riportato un esempio di email che sta circolando in rete in questi giorni:

Il messaggio è una classica e-mail di cyber estorsione, nella quale i truffatori minacciano gli utenti dichiarando di possedere materiale digitale pornografico dell’utente e ricattano la vittime chiedendo il pagamento di un “Riscatto” in bitcoin per evitare di rendere pubblico il materiale. Il tutto è assolutamente Falso!

Per rendere più veritiera l’email, al fine di cercare di ingannare il maggior numero di utenti, i criminali utilizzano la tecnica dello spoofing per far sembrare all’utente che l’email è stata inviata dal proprio indirizzo email. Inoltre includono nel corpo dell’email la password della casella email come prova che il proprio account email sia stato violato. La password come spiegato in precedenza proviene dall’archivio Breach Compilation.

Gli esperti di Cybaze hanno analizzato diversi esempi di e-mail appartenenti a questa campagna e la maggior parte di essi sono in lingua inglese. Nell’ultimo periodo però sono stati individuati anche email tradotte in lingua italiana, segno che la campagna sta puntando anche verso utenze italiane.

Analizzando le email in lingua inglese e italiana, i ricercatori di Cybaze hanno evidenziato che nelle email in lingua inglese il riscatto da pagare in bitcoin è di $ 3000 mentre nei messaggi in lingua italiana di $350. Questo fa pensare che dietro la campagna ci siano più attori che stanno usando la stessa tecnica e lo stesso archivio di credenziali.

Analizzando i portafogli bitcoin associati ai messaggi di cyber estorsione, i ricercatori Cybaze hanno in un caso trovato un numero di transazioni pari a 9. L’indirizzo Bitcoin con 9 transazioni individuato è il seguente: 1Lughwk11SAsz54wZJ3bpGbNqGfVanMWzk.

Questo prova che alcuni utenti hanno effettuato il pagamento e che quindi la campagna di estorsione sta mietendo vittime.

Suggerimenti

Il CERT-PA consiglia di non utilizzare mai la stessa password per i diversi account, di usare password robuste e di cambiarle con una certa frequenza. Si consiglia inoltre di verificare eventuali data breach della proprie credenziali inserendo la caselle di posta elettronica coinvolte nel campo “email address” del servizio HaveIBeenPwned pubblicamente consultabile.