L’Italia è uno dei paesi più a rischio di sextortion tramite email, ovvero quel tipo di ricatto sessuale veicolato tramite posta che sta arricchendo i cybercriminali. La criptovaluta trae profitto dallo spam a sfondo sessuale incanalato in portafogli legati ad altri crimini informatici e attività di mercato del dark web.

Esistono 4 tipologie di estorsione sessuale sul web

In questo articolo si parla principalmente del ricatto sessuale tramite email ma esistono altre tipologie di sextortion. Vediamole insieme :

1. ricatto sessuale tramite email, chiamato anche porno ricatto
2. ricatto sessuale dopo attacco diretto alla vostra videocamera del telefono, alla webcam del computer o all’impianto di videosorveglianza domestico, chiamato anche ricatto sessuale dopo violazione di accesso
3. ricatto sessuale dell’ex – revenge porn
4. ricatto sessuale dopo videochat con una ragazza, chiamato anche ricatto sessuale in chat ( scopri cosa fare e cosa non fare dopo sextortion in videochat con un click qui )

Sophos, nella sua indagine in merito alla prima tipologia ha evidenziato che Milioni di messaggi di spam “sextortion” inviati tra il 1 ° settembre 2019 e il 31 gennaio 2020 hanno generato quasi mezzo milione di dollari di profitti per i criminali di Internet. I messaggi dicevano ai destinatari che i loro computer erano stati hackerati, che il mittente aveva catturato un video di loro che visitavano siti web pornografici e minacciava di condividere il video con gli “amici” degli obiettivi se non avessero pagato, chiedendo fino a $ 800 USD valore di Bitcoin (BTC) da trasferire a un indirizzo di portafoglio.

Il flusso di quella valuta digitale rivela che molti degli operatori dietro queste truffe di sextortion sono collegati a un’economia digitale criminale molto più ampia. Sebbene ci fossero alcuni attori più piccoli coinvolti in queste campagne di spam, il movimento del BTC depositato in molti di quei portafogli mostra che le campagne erano collegate ad altre imprese criminali, finanziando altre attività illecite o fornendo un modo per convertire il BTC in contanti.

Un esempio dei messaggi di sextortion inviati durante la campagna.
Abbiamo condiviso i dati del portafoglio estratti da queste campagne di spam con CipherTrace, Inc., per ottenere maggiori informazioni sul flusso di valuta digitale ad esse connesso. È stato scoperto che gli indirizzi dei portafogli utilizzati dai truffatori per estrarre i pagamenti dalle vittime hanno effettuato transazioni con mercati del dark web, venditori di dati di carte di credito rubati e altri elementi dell’economia dei criminali informatici. Altri fondi sono stati rapidamente spostati attraverso una serie di indirizzi di wallet per essere consolidati, messi in “mixer” nel tentativo di riciclare le transazioni e convertiti in contanti, beni e servizi attraverso altri canali.

Sebbene le stesse truffe di sextortion fossero poco innovative, il flusso di criptovaluta non era l’unica cosa che suggeriva una certa sofisticazione dietro alcuni degli aggressori. Molti dei messaggi si basavano su una serie di metodi di offuscamento tecnicamente interessanti per cercare di sfuggire ai filtri antispam. E mentre la stragrande maggioranza dei destinatari non ha mai visto i messaggi o non ha pagato, abbastanza hanno visto e si sono innamorati dello stratagemma che i portafogli associati ai messaggi hanno accumulato 50,98 BTC durante il periodo di cinque mesi. Ciò equivale a circa $ 473.000, basato sul prezzo medio giornaliero al momento in cui sono stati effettuati i pagamenti e una media di $ 3.100 al giorno.

Sta piovendo spam
I messaggi di sextortion sono un punto fermo dei truffatori Internet di basso livello. Richiedono relativamente poche abilità tecniche per l’invio e non richiedono l’effettivo compromesso del computer del bersaglio. Questo perché gli indirizzi e-mail presi di mira dalla truffa e le password inviate come prova alle vittime sono raccolti da nomi utente pubblicati e password da violazioni di vecchi siti Web, ampiamente pubblicati su Internet. (L’utilizzo di gestori di password, il non riutilizzo delle password tra account e l’utilizzo di servizi come HaveIBeenPwned.com o Controllo password di Google possono proteggere le persone dall’uso di vecchie password da parte di aggressori.)

Rispetto alle sofisticate campagne di ransomware (che possono portare milioni di dollari in criptovaluta da una singola vittima), il ritorno dalle truffe di sextortion è relativamente piccolo. Ma sono ancora una fonte di guadagno significativa per gli spammer dietro di loro e costano relativamente poco da gestire. Forniscono anche un flusso costante di entrate per gli operatori di botnet le cui reti di computer compromessi fungono da trampolino di lancio per queste campagne.

Durante il periodo tra il 1 settembre 2019 e il 31 gennaio 2020, abbiamo assistito a una serie di picchi insoliti nel traffico di messaggi di spam sextortion. Come con molti altri tipi di campagne di spam, i messaggi di sextortion sono arrivati ​​a raffiche relativamente brevi invece di un flusso continuo di messaggi. Ma questi scoppi particolari costituivano una percentuale enorme del traffico di spam che abbiamo osservato durante il periodo osservato. Sebbene la sextortion costituisse una media del 4,23% di tutto il nostro traffico di spam osservato nel periodo, ci sono stati cinque giorni in cui ha costituito oltre un quinto di tutto lo spam che abbiamo osservato. E le e-mail di sextortion di soli tre giorni in ottobre hanno rappresentato oltre il 15% di tutto lo spam tra settembre e gennaio.

Abbiamo osservato circa una dozzina di “picchi”, la maggior parte durante l’autunno. Questi picchi di solito sono durati 1-3 giorni e più della metà si sono verificati nei fine settimana (venerdì, sabato e domenica). Un altro segno che i truffatori dietro questi messaggi preferiscono inviare i loro messaggi quando i loro obiettivi potrebbero non essere al lavoro: mentre le campagne erano in gran parte a basso volume nel mese di dicembre, sono aumentate tra il 24 e il 26. Ci sono stati alcuni valori anomali, tuttavia, incluso un picco l’8 gennaio che consisteva in gran parte in una campagna con messaggi di estorsione scritti in tedesco.

Come con molte campagne di spam, i messaggi di sextortion sono stati lanciati da botnet utilizzando personal computer compromessi in tutto il mondo, con i PC in Vietnam che forniscono la quota singola maggiore (7%). Alcuni dei messaggi hanno dimostrato alcuni nuovi metodi utilizzati da spammer sofisticati per eludere il software di filtraggio.

Sebbene avessimo visto campagne precedenti utilizzare le immagini per visualizzare la richiesta di estorsione al fine di eludere il rilevamento del testo, abbiamo trovato alcuni esempi di offuscamento basato su immagini nelle ondate di settembre e gennaio. Invece, gli spammer hanno utilizzato una varietà di altre tecniche per nascondere il testo dei loro messaggi a semplici parser:

Spezzare le parole con stringhe casuali e invisibili

In alto: messaggio visto dal destinatario. In basso: testo codificato nei dati del messaggio
Utilizzo di caratteri codificati non ASCII (come le lettere cirilliche) che sembrano simili ai caratteri “normali” per gli esseri umani, completamente diversi se letti da una macchina:

In alto: messaggio visto dal destinatario. In basso: testo codificato nei dati del messaggio
Utilizzo di testo spazzatura bianco invisibile per suddividere il testo del messaggio.

In alto: messaggio visto dal destinatario. In basso: testo codificato nei dati del messaggio
In un messaggio (l’esempio mostrato in precedenza in questo rapporto) il testo del messaggio era “nascosto” in tag di stile HTML al di fuori del corpo del messaggio.

A sinistra: messaggio visto dal destinatario. A destra: codifica HTML del messaggio, che mostra il contenuto in tag di “stile”.
Incassare sulla paura
Oltre alla minaccia spesso offuscata, ciascuna di queste e-mail conteneva un indirizzo di portafoglio Bitcoin che le vittime potevano utilizzare per dirigere i pagamenti. Chiaramente, la maggior parte di questi sforzi individuali per spaventare gli obiettivi e indurli a pagare è stata vana: mentre abbiamo trovato quasi 50.000 indirizzi di portafogli Bitcoin unici nei messaggi di sextortion che abbiamo intercettato, solo 328 hanno ricevuto pagamenti in qualsiasi momento fino all’inizio di febbraio, il che significa solo la metà una percentuale di ogni raffica di messaggi ha convinto i destinatari a pagare.

Sebbene siano una frazione relativamente piccola del totale, questi indirizzi di portafoglio hanno ricevuto più di 96 BTC, che vale (o valeva) alcune centinaia di migliaia di dollari USA, a seconda di quando controlliamo il prezzo di BTC / USD. Tuttavia, alcune di queste attività sono precedenti alle campagne di spam.

Guardare i pagamenti effettuati durante le campagne di sextortion può fornire un quadro più accurato di ciò che hanno prodotto. Durante il periodo di cinque mesi, 261 degli indirizzi del portafoglio hanno ricevuto 50,98 BTC. Moltiplicato per la media del prezzo giornaliero nel giorno in cui sono stati effettuati i pagamenti, si arriva a $ 472.740,99, che è il più vicino possibile all’importo effettivo delle vittime pagate. In media, i portafogli attivi hanno ricevuto 0,19534962 Bitcoin per indirizzo, ovvero 1.811,27 $ .

Gli operatori passavano regolarmente attraverso i nuovi indirizzi del portafoglio a ogni nuova campagna. La “durata media” di tutti gli indirizzi trovati nei messaggi di sextortion era di 2,6 giorni prima che scomparissero dallo spam osservato. I 328 portafogli “riusciti” – quelli che ricevevano pagamenti – avevano una vita più lunga, durando in media 15 giorni.

Attraverso la nostra collaborazione con CipherTrace, siamo stati in grado di determinare che i 328 indirizzi Bitcoin con una cronologia dei pagamenti erano collegati a 162 cluster di indirizzi legati ai singoli portafogli Bitcoin. Sebbene la maggior parte di questi portafogli avesse un solo indirizzo, c’erano 4 portafogli a cui erano associati più di 10 indirizzi dal nostro elenco.

Lascia scorrere il BTC
Dei 328 indirizzi “attivi” che abbiamo identificato, CipherTrace ne ha collegati 12 a scambi di criptovaluta online o altri servizi di portafoglio. Alcuni degli scambi erano stati precedentemente identificati da CipherTrace come servizi di scambio “ad alto rischio” con poco in termini di requisiti “conosci il tuo cliente”, rendendoli adatti come punti di riciclaggio di criptovaluta per i criminali. Questi indirizzi precedentemente attribuiti non sono stati utilizzati per tracciare ulteriormente il flusso di fondi dalle campagne, perché gli scambi spesso combinano i fondi dei clienti nel loro pool di depositi, rendendo insostenibile il monitoraggio di transazioni blockchain specifiche.

Il prodotto CipherTrace Inspector ha identificato 476 transazioni di output dai 316 indirizzi. Le destinazioni più frequenti per le transazioni erano:

Binance, uno scambio BTC globale (70 transazioni).
LocalBitcoins, un altro scambio BTC (48 transazioni).
Coinpayments, un gateway di pagamento BTC (30 transazioni).
Altri portafogli all’interno del regime di sextortion, consolidando i fondi (45 transazioni).
C’erano 54 transazioni verso indirizzi che non potevano essere attribuiti, probabilmente portafogli privati ​​non ospitati.
È importante sottolineare che gli scambi sopra menzionati (così come altri scambi) sono partecipanti inconsapevoli a questi depositi di fondi. A causa del modo in cui sono progettate le blockchain, non c’è modo per gli exchange di bloccare i depositi ai loro indirizzi.

Nel complesso, i pagamenti dai portafogli di sextortion sono stati distribuiti come mostrato di seguito:
Depositi effettuati in BTC da portafogli collegati a sextortion. in percentuale.
CipherTrace ha eseguito un’ulteriore analisi sui 316 indirizzi tracciando gli altri indirizzi ad essi collegati da transazioni, uscendo un massimo di 3 “salti” di transazione dall’indirizzo originale. Di questi indirizzi, 305 avevano almeno una transazione in uscita. La traccia di queste transazioni ha rivelato 7 gruppi distinti di cluster di indirizzi all’interno del gruppo, legati insieme dalle transazioni. In alcuni casi, quei cluster erano collegati ad altre transazioni criminali:

Un gruppo di portafogli legati alla sestorsione alimentato in una transazione con WallStreetMarket, un mercato “darkweb” che vende dati di carte di credito rubate, droghe e praticamente tutto il resto.
I portafogli di Sextortion erano legati ai fondi di aggregazione dei portafogli, inclusi i pagamenti dal mercato darkweb in lingua russa Hydra Market e dal mercato delle discariche di carte di credito FeShop.
Un portafoglio di sextortion era collegato a una transazione di Bitcoin collegata a un furto del 2019 dall’exchange Binance.
C’erano 13 indirizzi tra i 328 passati a CipherTrace che non avevano transazioni in uscita tracciabili. Ma per il resto, chiunque fosse dietro i portafogli non ha lasciato che il loro bottino di criptovaluta rimanesse a lungo. In base alla data del primo input (quando si è verificata la prima transazione di pagamento di estorsione) e dell’ultimo output (quando l’ultimo valore del Bitcoin del portafoglio è stato prosciugato) da ciascuno dei rimanenti 305 wallet, CipherTrace ha calcolato una “durata media della vita” “Di circa 32,28 giorni.

Rimuovendo dal gruppo i portafogli anomali più longevi, 9 indirizzi che sono rimasti per più di 200 giorni, la maggior parte degli indirizzi ha avuto una durata media di 19,93 giorni. Per 143 indirizzi, in cui era presente una sola transazione di input e una di output, i portafogli sono stati incassati in media entro 8 giorni, ad eccezione di due che sono rimasti intatti per oltre 100 giorni.

Dove sono i soldi adesso?
Tracciare dove fisicamente nel mondo sono andati i soldi da queste truffe di sextortion è un’impresa difficile. Dei 328 indirizzi forniti, CipherTrace ha determinato che a 20 degli indirizzi erano associati dati IP, ma quegli indirizzi erano collegati a VPN o nodi di uscita Tor, quindi non erano utili per localizzare i loro proprietari.

Il luogo in cui si verificano depositi che svuotano il portafoglio può a volte offrire un suggerimento sulla posizione dei truffatori, perché alcuni scambi limitano i blocchi di indirizzi Internet da cui è possibile accedere. Ma anche le restrizioni geografiche su alcuni degli scambi utilizzati sono inefficaci per localizzare le persone dietro i portafogli, più o meno per lo stesso motivo: VPN o Tor potrebbero essere utilizzati per aggirare le restrizioni basate su IP a quegli scambi. La maggior parte dei depositi è andata agli scambi globali.

Dato che alcuni dei trasferimenti sono stati utilizzati per ottenere dati di carte di credito rubati o altri servizi criminali, probabilmente inclusi più servizi botnet per l’invio di spam, i pagamenti delle campagne di sextortion stanno finanziando un altro giro di truffe e frodi. Dopotutto, anche nel mondo criminale, devi spendere soldi per fare soldi.

Fonte : https://news.sophos.com/en-us/2020/04/22/following-the-sextortion-money/

Come difendersi dal ricatto sessuale

Come difendersi dal ricatto sessuale in videochat, da webcam di videosorveglianza o tramite email : consigli pratici e risolutivi. Il nostro studio fornisce un servizio professionale con assistenza legale anche internazionale, nei casi di estorsione o ricatto sessuale online, chiamato anche sextortion o sex extortion

L’articolo Estorsioni a sfondo sessuale : la sextortion corre sul web e l’italia è uno dei paesi più colpiti proviene da .