Hai ricevuto un’email “da te stesso” che parla di spyware Pegasus, video intimi e riscatto in Bitcoin? Niente panico: è uno schema di sex‑extortion basato sullo spoofing del mittente. In questa guida spieghiamo perché è quasi sempre un falso allarme e cosa fare, subito e con metodo.
Sintesi del problema
- Che cosa accade? Arriva un messaggio che sembra provenire dal tuo stesso indirizzo email (spoofing). Nel testo l’attaccante sostiene di aver installato lo spyware “Pegasus” sui tuoi dispositivi, di averti registrato tramite webcam e minaccia di diffondere materiale “intimo” se non paghi un riscatto in Bitcoin.
- Perché appare credibile? Il campo
From:coincide con il tuo indirizzo, l’email usa toni intimidatori, mostra un conto alla rovescia, elenca dettagli pseudo‑tecnici (header, IP “visti”, un wallet BTC) e cerca di indurre panico e fretta.
Perché non è (quasi mai) reale
| Aspetto dichiarato | Realtà dei fatti |
|---|---|
| “Abbiamo hackerato il tuo account e installato Pegasus” | Pegasus è un malware estremamente costoso, venduto a governi e forze dell’ordine: è improbabile che venga usato per estorsioni di massa via email. |
| “Ti scriviamo dalla tua stessa casella, quindi la controlliamo” | Chiunque può falsificare il campo From:. Il protocollo SMTP lo consente: vedere il proprio indirizzo come mittente non prova alcun accesso all’account. |
| “Abbiamo già il tuo video” | Quando esistono prove reali, chi ricatta tende a esibirne frammenti. In queste campagne seriali, invece, non ci sono allegati né screenshot verificabili. |
| Conto alla rovescia imperativo | È una tecnica psicologica (urgenza artificiale) per impedire di ragionare a freddo e di chiedere aiuto. |
| Dettagli tecnici “convincing” nell’email | Stringhe di IP, “log” e intestazioni sono spesso copiate/incollate e non corrispondono a niente di reale. Il portafoglio BTC cambia a rotazione per confondere le acque. |
Conclusione: siamo davanti a un’email di phishing/sex‑extortion generica, non a un’infezione effettiva. La minaccia sfrutta paura e vergogna, non vulnerabilità tecniche del tuo PC.
Cosa fare subito
- Non rispondere, non pagare, non cliccare su link o allegati. Qualsiasi interazione conferma che l’indirizzo è “attivo”.
- Segnala come phishing (Outlook: Rapporta messaggio ▸ Phishing) e poi elimina. Nota: salvare la mail come
.emlo.txtnon infetta il PC, perché è solo testo. - Cambia la password della casella e di qualunque servizio in cui l’hai riutilizzata. Usa una password lunga (almeno 14 caratteri), unica e generata da un password manager.
- Abilita l’autenticazione a due fattori (2FA) su email, social, cloud e banca. SMS è meglio di niente; app di autenticazione o chiavi di sicurezza sono preferibili.
- Controlla le impostazioni dell’account (es. Outlook ▸ regole/instradamento; “Accessi recenti”): verifica che non ci siano filtri di inoltro o sessioni sospette.
- Controlla le notifiche di “codice monouso”. Se ne arrivano molte non richieste, qualcuno sta provando a entrare: la 2FA blocca il tentativo.
- Esegui una scansione antimalware aggiornata su PC e smartphone. Mantieni sistema operativo e browser aggiornati.
- Conserva le prove (ID transazione, intestazioni complete) se vuoi denunciare alla polizia postale o al CERT nazionale.
Checklist rapida anti‑panico
- ✅ Password dell’email cambiata e 2FA attiva.
- ✅ Nessuna risposta al truffatore, nessun clic su allegati/link.
- ✅ Segnalazione come phishing al provider.
- ✅ Verifica regole di inoltro e accessi recenti.
- ✅ Scansione antimalware completata.
Perché vedi la tua email come mittente
Lo spoofing è la falsificazione del mittente. Nel mondo email il mittente “visibile” (From:) può essere impostato arbitrariamente durante l’invio. I sistemi moderni contrastano l’abuso con tre meccanismi:
- SPF (Sender Policy Framework): elenca quali server sono autorizzati a inviare posta per un dominio.
- DKIM (DomainKeys Identified Mail): appone una firma crittografica al messaggio.
- DMARC: dice ai destinatari cosa fare se SPF/DKIM non “allineano” (accetta, metti in quarantena, rifiuta).
Tuttavia non tutti i domini hanno DMARC rigoroso, non tutti i provider lo applicano allo stesso modo e le email spoofate possono comunque arrivare nella posta in arrivo o nella posta indesiderata. Vedere il tuo indirizzo nel From: non significa che qualcuno abbia effettuato accesso al tuo account.
Come riconoscere il falso con le intestazioni
Se vuoi fare un controllo in più, apri le intestazioni complete (“header”) del messaggio. Ecco come trovarle:
- Outlook desktop: apri la mail ▸ File ▸ Proprietà ▸ sezione Intestazioni Internet.
- Outlook Web: apri la mail ▸ Altro (⋯) ▸ Visualizza sorgente del messaggio.
- Gmail: apri la mail ▸ icona a tre puntini ▸ Mostra originale.
- Apple Mail: Vista ▸ Messaggio ▸ Tutte le intestazioni.
Cerca indicazioni come spf=fail, dkim=none o dmarc=fail. Un esempio semplificato:
Received: from random-host.example (203.0.113.50) Authentication-Results: mx.tuodominio.it; spf=fail smtp.mailfrom=tuodominio.it; dkim=none (no signature); dmarc=fail (p=none) header.from=tuodominio.it From: "TUO NOME" <tuonome@tuodominio.it> Subject: Abbiamo il tuo video - paga subito
Questi indicatori non provano un’infezione: segnalano semplicemente che il messaggio non è autentico per quel dominio.
Esempio tipico di email di estorsione
Ciao, abbiamo installato Pegasus sul tuo dispositivo e registrato video compromettenti mentre visitavi siti per adulti. Sappiamo la tua password e invieremo il video ai tuoi contatti se non paghi 1.200$ in Bitcoin. Hai 48 ore. Indirizzo BTC: [omesso]. Non tentare di contattarci, ti stiamo osservando.
Elementi ricorrenti: linguaggio minaccioso, importo variabile, wallet BTC riutilizzato, timer finto, assenza di prove reali e presunta “onniscienza” dell’attaccante.
Verifiche sull’account per stare tranquilli
Password e 2FA
- Se sospetti riutilizzo di password, cambiala ovunque l’abbia usata. Adotta un password manager e abilita 2FA.
- Preferisci 2FA con app di autenticazione o chiavi FIDO2. Evita di riutilizzare codici di backup: rigenerali dopo il cambio password.
Regole di inoltro e filtri
- Apri le regole della tua casella: rimuovi inoltri automatici sconosciuti o regole che spostano messaggi in cartelle “invisibili”.
- Controlla eventuali deleghe o accessi concessi ad app terze (OAuth) e revoca ciò che non riconosci.
Accessi recenti
- Verifica l’elenco di sessioni e dispositivi collegati. Se vedi accessi da Paesi insoliti o device che non ti appartengono, chiudi le sessioni e forza il logout globale.
Dispositivi
- Esegui una scansione antimalware su PC e smartphone con definizioni aggiornate.
- Applica gli aggiornamenti di sistema e browser; non rimandare i riavvii di sicurezza.
Domande frequenti
| Domanda | Risposta sintetica |
|---|---|
| Aprire la mail può infettare? | La sola lettura in un client moderno è sicura. Il rischio nasce da allegati eseguibili o link malevoli. |
| Salvare la mail su Notepad è pericoloso? | No. È semplice testo. Eliminane la copia quando non serve più. |
| Microsoft può impedire lo spoofing? | SPF, DKIM e DMARC riducono il problema ma non lo eliminano del tutto. Per questo ogni tanto compaiono mail con mittente identico al tuo. |
| Devo chiudere l’account? | Di norma basta cambiare password e attivare 2FA. Chiudere l’indirizzo è una misura estrema. |
| Cosa fare se vedo addebiti o accessi anomali? | Blocca/sostituisci le carte, attiva avvisi di transazione, cambia password anche su servizi collegati (Amazon, PayPal ecc.). |
Altre domande frequenti
- Possono davvero accendere la mia webcam? Non con una semplice email. Per controllare webcam o microfono servono malware installati o permessi concessi a un’app malevola. Tieni il sistema aggiornato, limita i permessi e usa antivirus.
- Il conto alla rovescia è reale? No. È un espediente psicologico. Spesso il timer “riparte” a ogni apertura del messaggio.
- Se ho già pagato? Conserva ricevute e identificativi della transazione. Presenta denuncia: è difficile recuperare i fondi, ma segnalare aiuta a tracciare le campagne.
- Perché hanno la mia email? Spesso deriva da data breach passati o scraping pubblico. Usa servizi di monitoraggio dei data breach e cambia password quando vieni notificato.
- Bloccare il mittente basta? No. I truffatori cambiano indirizzo di continuo. Meglio addestrare il filtro antispam segnalando come phishing.
Buone pratiche aggiuntive
- Password manager: genera credenziali uniche e lunghe (≥ 14 caratteri). Evita il riutilizzo.
- Falsi allarmi: i criminali riutilizzano lo stesso testo (“Hello pervert…”) cambiando solo il wallet. Ignora e segnala.
- Educazione familiare: spiega a parenti e colleghi cos’è lo spoofing per ridurre panico e danni.
- Blocca il caricamento automatico di immagini remote nel client di posta per ridurre il tracciamento con pixel.
- Alias e indirizzi di servizio: separa iscrizioni, acquisti e contatti personali con alias diversi.
- Backup: mantieni copie di sicurezza dei dati importanti. Le truffe puntano sulla paura di perdere reputazione; non permettere che diventi anche perdita di file.
Indicazioni specifiche per principali provider
Outlook
- Segnala la mail: Rapporta messaggio ▸ Phishing.
- Verifica Regole ▸ Posta in arrivo e sweep e Inoltro. Rimuovi tutto ciò che non riconosci.
- Controlla Dispositivi e accessi recenti dalle impostazioni dell’account Microsoft.
Gmail
- Apri il menu a tre puntini nella mail ▸ Segnala phishing.
- Impostazioni ▸ Reindirizzamento e POP/IMAP: assicurati che non ci siano inoltri indebitamente impostati.
- Controlla Sicurezza ▸ I tuoi dispositivi nell’account Google e rimuovi quelli sconosciuti.
Apple Mail/iCloud
- Segnala come indesiderata o phishing secondo le opzioni disponibili.
- In iCloud, verifica Regole e inoltri dall’interfaccia web.
- Abilita Chiave di sicurezza o 2FA per l’ID Apple.
Segnali di reale compromissione
Questi indicatori meritano attenzione extra rispetto alla tipica truffa “Pegasus”:
- Accessi recenti sconosciuti o da luoghi inattesi.
- Regole di inoltro, risposte automatiche o deleghe che non hai creato.
- Modifica delle impostazioni di recupero (telefono/email secondario) non voluta.
- Invii di massa dalla tua casella non autorizzati.
- Richieste frequenti e non richieste di codici 2FA.
In questi casi, procedi con: cambio password, 2FA, chiusura sessioni, revoca accessi OAuth, scansioni, e — se necessario — supporto dell’assistenza del provider e denuncia.
Per team IT e amministratori
- DMARC con allineamento e policy adeguata (
p=quarantineop=reject) dopo fase di monitoraggio (p=none) e report attivi (rua). - SPF minimizzato: evita record troppo permissivi (
+all,~allmal gestiti) e mantieni la lista degli sender autorizzati. - DKIM su tutti i domini di invio, chiavi regolari e rotazione periodica.
- Formazione utenti: campagne anti‑phishing simulate e linee guida su come segnalare rapidamente sospetti.
- Regole di trasporto per evidenziare mittenti “look‑alike”, domini omografi e messaggi con
From:uguale alTo:. - Blocca esfiltrazioni via inoltri non autorizzati con DLP e monitoraggio.
Errori da evitare
- Pagare il riscatto: non ci sono garanzie e incoraggia i criminali.
- Rispondere per “negoziare”: conferma che l’indirizzo esiste.
- Condividere lo screenshot sui social con indirizzo email visibile: aumenti l’esposizione allo spam mirato.
- Ignorare l’igiene delle password: il 2FA senza password robuste è una porta semiaperta.
Riassunto operativo
L’email “Pegasus” inviata dal tuo indirizzo è quasi sempre uno schema di sex‑extortion via spoofing. Non indica che il tuo account sia stato violato. Segnala, elimina, cambia la password, abilita la 2FA e verifica le impostazioni. Mantieni i dispositivi aggiornati e conserva eventuali prove se vuoi presentare denuncia. Un buon caffè (o una tisana) e password nuove sono davvero la miglior risposta.
Nota di servizio: la presente guida è pensata per utenti e piccole organizzazioni. In contesti aziendali più strutturati, affianca queste misure a processi di risposta agli incidenti, logging centralizzato e policy email avanzate.