Le truffe a scopo di estorsione sono una minaccia crescente che può provocare notevoli disagi e danni a persone e organizzazioni.
I responsabili IT sono fondamentali per garantire che i loro team siano informati su queste truffe e siano attrezzati per rispondere in modo efficace. La sextortion sfrutta la paura e l'imbarazzo per manipolare le vittime e indurle a soddisfare le richieste dei criminali informatici. In genere si tratta di un'e-mail o di un messaggio privato contenente false affermazioni sul fatto che il mittente è in possesso di foto o video compromettenti del destinatario. Spesso, il misterioso ricattatore afferma di aver pedinato la vittima attraverso la sua webcam mentre visualizzava, ad esempio, alcuni contenuti espliciti. La minaccia è chiara: pagare un riscatto o il materiale imbarazzante verrà condiviso con colleghi, amici e familiari.
Tuttavia, è importante rendersi conto che il contenuto di queste e-mail è spesso del tutto inventato. I criminali informatici utilizzano tattiche intimidatorie per creare un falso senso di urgenza e vulnerabilità nei loro obiettivi. Queste affermazioni sono spesso vuote e i truffatori non hanno alcun materiale compromettente.
Il ritorno della sextortion sotto i riflettori
La sextortion e altre truffe simili sono in aumento, poiché la tecnologia moderna rende ancora più facile per i criminali informatici commetterle. Nel 2023, gli attacchi di sextortion hanno raggiunto numeri mai visti dal 2021, diventando la terza minaccia più comune via e-mail. L'FBI ha inoltre avvertito il pubblico che i criminali informatici possono ora facilmente utilizzare l'intelligenza artificiale e i deepfakes per trasformare foto ordinarie in contenuti sessuali fabbricati che possono essere utilizzati nelle truffe di sextortion.
La prima linea di difesa contro le truffe di sextortion è la consapevolezza. Assicuratevi che il vostro team sia consapevole che:
Le truffe di sextortion sono in aumento: Sottolineate che gli attacchi di sextortion sono aumentati di recente e sono diventati una delle minacce e-mail più diffuse.
L'intelligenza artificiale e i deepfake sono in gioco: Tutti, compresi i criminali informatici, hanno oggi accesso a tecnologie avanzate che consentono di manipolare immagini e video per le truffe di sextortion e creare falsi convincenti.
Cosa devono fare i dipendenti se trovano un'e-mail di sextortion nella loro casella di posta?
1. Prendetevi un momento per riflettere. Il contenuto dell'e-mail potrebbe essere completamente falso. I dipendenti possono contattare il reparto IT o il fornitore di servizi di sicurezza per ottenere assistenza tecnica se non sono sicuri del contenuto ricevuto.
2. Non partecipate alla truffa. Non rispondete, non scaricate gli allegati, non cliccate sui link incorporati e non interagite in altro modo con il contenuto dell'e-mail. Queste azioni potrebbero essere un passaggio per il malware o altre minacce alla sicurezza.
3. Non pagate. Non cedete alle richieste di estorsione. Pagare il riscatto non solo finanzia i criminali ma non garantisce nemmeno che la minaccia scompaia.
4. Avvisare il reparto IT. Se una truffa di sextortion prende di mira un indirizzo e-mail di lavoro, il dipendente deve informare il supporto IT. Questi può aiutarlo a risolvere la situazione e a scansionare il sistema informatico alla ricerca di potenziali malware.
5. Cambiare le password per precauzione. Se l'aggressore dichiara di essere in possesso delle credenziali dell'utente, è più sicuro cambiarle su tutte le piattaforme e utilizzare l'autenticazione a più fattori (MFA) laddove possibile per aumentare il livello di protezione.
6. Raccogliere tutte le prove. Se ritenete di essere vittime di una sextortion, raccogliete tutte le prove, compresi nomi utente, indirizzi e-mail, foto, video, ecc. e segnalatele all'ufficio competente del vostro Paese, come Action Fraud nel Regno Unito.
Mentre le truffe a scopo di estorsione sono per lo più truffe, gli estorsori fanno del loro meglio per entrare nella pelle dei dipendenti e spaventarli e costringerli a pagare il riscatto richiesto, di solito in criptovalute difficili da rintracciare. Incoraggiate i vostri dipendenti a non prendere alla leggera le truffe di social engineering, ma anche a non farsi prendere dal panico quando ricevono una minaccia simile. La migliore difesa per i vostri dipendenti è mantenere il sangue freddo.