«Abbiamo preso il controllo della webcam del tuo computer e ti abbiamo filmato mentre visitavi siti pornografici. Pagaci, altrimenti diffondiamo a tutti i tuoi contatti quel video». Qualche giorno fa, una delle puntate più commentate della serie distopico-fantascientifica Black Mirror è sembrata trasformarsi in realtà, per centinaia di persone in Italia. La prima segnalazione è arrivata dal Veneto, ma poi si è rapidamente diffusa lungo il territorio. Il virgolettato che abbiamo messo in apertura è una sintesi del contenuto di una mail che ha iniziato a circolare circa una settimana fa.

Una minaccia che avrà fatto sobbalzare più di un destinatario (siamo pur sempre il nono Paese al mondo per traffico in termini assoluti verso il sito PornHub), soprattutto perché la mail era arricchita da un dettaglio inquietante: riportava (in chiaro) la password del destinatario. In realtà, come si legge sul sito della polizia postale, talvolta si trattava non dell’attuale password, ma di quella passata. Segno che probabilmente i dati non erano stati scoperti entrando nel computer dell’utente, bensì comprati (illegalmente) attraverso intermediari su canali non tracciabili. Talvolta si tende a sottovalutare certe notizie di bug nelle piattaforme di servizi web che rendono potenzialmente accessibili milioni di account, oppure di violazioni dei database di grandi compagnie. A tali eventi fa solitamente seguito la raccomandazione a cambiare periodicamente la password dei servizi che si utilizzano, e a usarne di diverse.

Tra l’altro, si è scoperto che non è molto utile creare password complicate, con numeri e caratteri speciali, maiuscole e minuscole, quindi difficili da ricordare. Molto più importante, per renderle sicure, che siano semplicemente lunghe. «In altre parole: è meglio avere come password una sequenza di parole di senso compiuto e facili da ricordare per chi la conosce, piuttosto che una breve stringa di caratteri incomprensibili e difficilissimi da tenere a mente per un essere umano, ma semplici da indovinare per un computer». Tali accorgimenti non sono per niente superflui, e possono mettere al riparo da spiacevoli inconvenienti, come quelli che hanno vissuto gli utenti colpiti da questo tentativo di truffa. Ciò non vuol dire che non sia tecnicamente possibile fare ciò che viene descritto nella mail. Ma, almeno in questo caso, è inutile preoccuparsi eccessivamente.

Le cose da fare, se si dovesse ricevere la mail in questione, sono essenzialmente due: non pagare; denunciare il fatto alla polizia postale. Più denunce arrivano, e più queste sono tempestive, più la polizia ha la possibilità di mettersi sulle tracce del truffatore, per scoprire se ha lasciato qualche segno della sua identità o posizione su qualche server.

Di seguito, alcuni dei consigli pubblicati dalla polizia postale, rivolti alle vittime di questo tentativo di raggiro, ma utili per tutti: «Mantenere la calma: Il criminale non dispone, in realtà, di alcun filmato che ci ritrae in atteggiamenti intimi né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di nostri amici o parenti.

Non pagare assolutamente alcun riscatto: l’esperienza maturata con riguardo a precedenti fattispecie criminose (come sextortione ransomware) dimostra che, persino quando il criminale dispone effettivamente di nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, volte ad ottenere ulteriore denaro.

Proteggere adeguatamente la nostra email (ed in generale i nostri account virtuali):

cambiare – se non si è già provveduto a farlo – la password, impostando password complesse;
non utilizzare mai la stessa password per più profili;
abilitare, ove possibile, meccanismi di autenticazione “forte” ai nostri spazi virtuali, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare.

Tenere presente che l’inoculazione (quella vera) di virus informatici capaci di assumere il controllo dei nostri dispositivi può avvenire soltanto se i criminali informatici abbiano avuto disponibilità materiale dei dispositivi stessi, oppure qualora siano riusciti a consumare, ai nostri danni, episodi di phishinginformatico: è buona norma quindi non lasciare mai i nostri dispositivi incustoditi (e non protetti) e guardarsi dal cliccare su link o allegati di posta elettronica sospetti.

Aggiornare sempre il sistema operativo dei nostri dispositivi, ed installare e tenere aggiornati adeguati sistemi antivirus».

(Foto di Markus Spiske su Unsplash)