“Ciao pervertito”: la sextortion via email che gira da 10 anni (e perché non devi preoccuparti)

Rubrica Sicurezza Informatica a cura di Docline Service & Networking

Tentativi d’annata

Se hai ricevuto un’email che inizia con “Ciao pervertito” o simili, che minaccia di aver installato uno spyware sul tuo dispositivo e di possedere video compromettenti, stai leggendo una truffa, non una minaccia reale. È una delle campagne di estorsione via email più diffuse e longeve del web, attiva praticamente invariata da circa un decennio.

In breve: nessun criminale ha realmente installato uno spyware come Pegasus sul tuo dispositivo. La mail è generata in massa, inviata a milioni di indirizzi raccolti da vecchie fughe di dati, e punta solo sulla paura e sulla vergogna per farti pagare.

Come funziona lo schema

Il meccanismo è sempre lo stesso, cambiano solo i dettagli di volta in volta:

  • L’email sostiene che un malware (in passato un generico “trojan”, oggi spesso si cita Pegasus per aumentare la credibilità) sia stato installato sul dispositivo della vittima
  • Afferma di aver registrato video tramite webcam mentre la vittima guardava contenuti per adulti
  • Minaccia di inviare tutto alla rubrica di contatti (WhatsApp, Telegram, email, social) se non viene pagato un riscatto in Bitcoin, di solito tra i 300 e i 3.000 euro
  • Impone un termine perentorio (spesso 48-72 ore) per aumentare la pressione psicologica
  • Intima di non contattare le forze dell’ordine, pena la “pubblicazione immediata”

Negli ultimi anni queste truffe hanno guadagnato in sofisticazione: alcune varianti citano espressamente lo spyware Pegasus e talvolta includono immagini dell’abitazione della vittima, prese da Google Maps, per rendere più credibile la minaccia. L’email si apre tipicamente con un saluto del tipo “Ciao pervertito”, accusando poi il destinatario di aver visitato contenuti pornografici controversi.

Perché è (quasi certamente) un bluff

Pegasus è realmente uno spyware, ma è uno strumento altamente controllato usato da governi per sorvegliare dissidenti politici, attivisti per i diritti umani e giornalisti: non esistono prove che sia mai finito nelle mani di truffatori comuni. Nessun criminale improvvisato ha accesso a uno strumento del genere, che richiede exploit dal valore di milioni di euro e infrastrutture di livello statale.

La Polizia Postale conferma che si tratta di una truffa: nella maggior parte dei casi non esistono video o immagini reali e non vi è alcun accesso ai dispositivi. Il meccanismo si basa esclusivamente su psicologia e statistica: gli invii sono massivi e automatizzati, e basta che una piccola percentuale di destinatari, presa dal panico, decida di pagare perché lo schema resti redditizio.

Un dettaglio che spesso aumenta (ingiustamente) la credibilità del messaggio è l’inclusione di una vecchia password reale della vittima: proviene da uno dei tanti data breach passati (LinkedIn, Adobe e simili), reperibile sul dark web a pochi centesimi, e non da un accesso diretto al dispositivo.

Cosa fare se la ricevi

Le indicazioni ufficiali sono semplici: non rispondere e non pagare, non cliccare su link né aprire allegati, cambiare le password dell’account email indicato, soprattutto se coincide con una password che usi ancora altrove.

FARENON FARE
Ignorare e cestinare l’emailRispondere al mittente
Verificare su haveibeenpwned.com se la password citata è notaPagare, anche “per togliersi il pensiero”
Cambiare le password riutilizzate altroveCliccare su eventuali link o allegati
Attivare l’autenticazione a due fattori (2FA)Farsi prendere dal panico per il conto alla rovescia
Conservare l’email come prova ed eventualmente denunciare alla Polizia PostaleTentare il reset del dispositivo (inutile e non richiesto)

Attenzione: nessuna autorità italiana comunica sanzioni o accuse via email da indirizzi Gmail, Outlook o altri provider gratuiti. La grammatica spesso traballante, gli indirizzi di comodo e la genericità delle minacce sono ulteriori segnali tipici di questo tipo di truffa.

Il quadro generale

Il fenomeno colpisce centinaia di persone in Italia, senza distinzione di ruolo: imprenditori, dirigenti, professori universitari sono tutti finiti nella lista dei destinatari di questa campagna, che è automatizzata e inviata a liste enormi di indirizzi raccolti da fughe di dati, non un attacco mirato a una persona specifica. L’esperienza maturata con casi analoghi di sextortion e ransomware dimostra inoltre che pagare produce solo ulteriori richieste di denaro, mai la fine reale del ricatto.

Fonti: Polizia Postale e delle Comunicazioni (commissariatodips.it) · Agenzia per la Cybersicurezza Nazionale (acn.gov.it)


Docline Service & Networking — Consulenza IT, sicurezza informatica e conformità GDPR per aziende. www.docsnet.it

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *