Hai ricevuto un’email di ricatto che sembra spedita dal tuo stesso indirizzo e mostra una tua vecchia password? È un tipico schema di sextortion. In questa guida pratica vediamo come riconoscerlo, perché succede e cosa fare subito per proteggere te e i tuoi contatti.
Email di ricatto “sextortion”: cos’è e come si presenta
Le campagne di sextortion via email sono messaggi minatori in cui i truffatori affermano di averti ripreso in attività “compromettenti” tramite webcam o spyware. Minacciano di inviare i presunti video ai tuoi contatti se non paghi (quasi sempre in criptovaluta) entro un breve tempo, spesso “48 ore”. Alcuni elementi ricorrenti:
- Contenuto del messaggio: toni intimidatori, ultimatum temporale, richiesta di pagamento in Bitcoin o simili, promesse di diffusione dei file a familiari e colleghi.
- Apparenza del mittente: l’email sembra provenire esattamente dal tuo indirizzo (spoofing dell’intestazione).
- Vecchia password esposta: nel testo compare una password che hai usato anni fa su un sito poi coinvolto in una violazione di dati.
- Assenza di prove reali: nessun riferimento verificabile a data/ora del presunto “video”, né allegati concreti (se ci sono, non aprirli).
Perché l’email sembra inviata da me: lo spoofing spiegato semplice
Il campo From: nelle email è un testo che può essere manipolato: i truffatori inviano il messaggio dai loro server, ma riscrivono il mittente per farlo coincidere con il tuo indirizzo. Non significa che abbiano accesso alla tua casella.
Se vuoi approfondire, puoi dare un’occhiata alle intestazioni complete dell’email (i cosiddetti “header”), che includono le righe Received: e i risultati di SPF, DKIM e DMARC:
- In Gmail: apri il messaggio → menu ⋮ → Mostra originale.
- In Outlook (desktop): apri l’email → File → Proprietà → Intestazioni Internet.
È normale che il dominio e l’IP di invio non coincidano con i tuoi: è un segnale che si tratta di spoofing. Il tuo provider potrebbe già filtrare molti di questi messaggi, ma alcuni passano comunque per limiti intrinseci del protocollo email.
Perché compare una mia “vecchia password”
Quelle password non sono state rubate oggi dal tuo PC: sono prese da vecchi database compromessi e poi resi pubblici o venduti. I truffatori fanno copia-incolla di credenziali storiche per rendere la minaccia più credibile. Ecco come comportarti:
- Se la password non è più in uso su nessun servizio, non c’è nessuna prova attuale di compromissione.
- Se per caso la usi ancora da qualche parte, cambiala subito e abilita l’autenticazione a due fattori (2FA).
- Controlla se il tuo indirizzo risulta in violazioni note tramite servizi di verifica di data breach (es. “Have I Been Pwned”).
Cosa fare subito: piano d’azione essenziale
- Non rispondere e non pagare. Ogni risposta conferma che l’indirizzo è attivo e incoraggia ulteriori tentativi.
- Segnala come Spam/Junk o elimina direttamente il messaggio.
- Password già aggiornata? Ottimo. In ogni caso attiva 2FA/MFA sull’account email e sugli altri servizi principali.
- Chiudi le sessioni attive dall’account (dispositivi connessi) e rivedi l’attività di accesso recente.
- Controlla inoltri e regole sospette: assicurati che non ci siano regole che spostano o inoltrano la posta a tua insaputa.
- Verifica app e token con accesso al tuo account (OAuth, “Password per app”): revoca ciò che non riconosci.
- Aggiorna sistema e antivirus e, per scrupolo, esegui una scansione completa.
Soluzione e raccomandazioni riassunte
| Passo | Descrizione | Perché è utile |
|---|---|---|
| 1. Ignorare e cancellare | Non rispondere, non pagare. Segnala come Spam/Junk oppure elimina. | Il mittente non ha video; il messaggio è automatizzato. Pagare non ferma futuri invii. |
| 2. Verificare la sicurezza dell’account | Password aggiornata e 2FA abilitata. | Blocca accessi futuri anche in presenza di vecchie credenziali esposte. |
| 3. Controllare eventuali violazioni | Cerca l’indirizzo in servizi di verifica di data breach. | Aiuta a capire l’origine e a ruotare password sui servizi coinvolti. |
| 4. Password uniche + gestore | Usa un password manager per creare credenziali forti e diverse. | Riduce l’impatto di futuri leak. |
| 5. Filtri e regole | Non puoi bloccare “te stesso” come mittente: crea regole su oggetto/testo. | Rimuove automaticamente minacce analoghe senza toccare email legittime. |
| 6. Aggiornamenti e scansioni | OS e antivirus aggiornati; scansione completa. | Pur essendo un ricatto finto, resti protetto da altri rischi reali. |
| 7. Educare i contatti (facoltativo) | Avvisa di ignorare messaggi insoliti “da te”. | Previene il phishing se i truffatori ampliano la campagna. |
Creare filtri e regole efficaci senza bloccare email legittime
Poiché l’indirizzo del mittente è falsificato, bloccare il tuo indirizzo non è una soluzione. Meglio intervenire su parole chiave, frasi tipiche e indicatori tecnici presenti nel corpo o nell’oggetto. Ecco come procedere nei principali client.
In Gmail
- Apri l’ingranaggio → Visualizza tutte le impostazioni → Filtri e indirizzi bloccati → Crea un nuovo filtro.
- Usa il campo Contiene le parole con una query composta (puoi usare gli operatori di ricerca Gmail):
subject:(bitcoin OR criptovaluta OR "48 ore" OR "ti ho registrato")
OR ("la tua password" OR "vecchia password")
OR ("ti ho ripreso" OR "ti sto filmando")
- Fai clic su Crea filtro e seleziona Elimina (o Salta Posta in arrivo → Archivio), e Applica anche ai messaggi corrispondenti.
Consiglio: se tema falsi positivi, inizia con l’azione Contrassegna come spam o Applica etichetta “Possibile sextortion” e monitora per qualche giorno.
In Outlook per Microsoft 365 (desktop)
- Seleziona un messaggio d’esempio → Home → Regole → Crea regola… → Opzioni avanzate.
- Aggiungi condizioni come l’oggetto contiene “bitcoin”, “48 ore”, “ti ho registrato” oppure il corpo del messaggio contiene “la tua password”.
- Come azione, seleziona Elimina (o sposta in una cartella “Sospetti”).
Indicatori utili da filtrare
- Richieste di pagamento in Bitcoin o altre criptovalute.
- Frasi di urgenza: “entro 48 ore”, “ultimo avviso”.
- Menzioni a password in chiaro nel testo.
- Minacce esplicite di invio a “tutti i tuoi contatti”.
Evita filtri troppo generici (“video”, “password”) senza contesto, per non perdere email legittime.
Verifica approfondita della sicurezza dell’account
Nella maggior parte dei casi l’account non è compromesso. Per tranquillità, dedica 10 minuti a questi controlli:
- 2FA/MFA: attiva l’autenticazione a due fattori (app di autenticazione o passkey; evita gli SMS quando possibile).
- Recupero e dispositivi: verifica numero di recupero, email alternativa e dispositivi collegati; rimuovi quelli sconosciuti.
- Regole/inoltri: in posta in arrivo controlla che non esistano inoltri automatici verso indirizzi terzi o regole che nascondono email.
- App e token: rivedi app con accesso all’account (OAuth) e password per app; revoca ciò che non riconosci.
- Sessioni: disconnetti tutte le sessioni attive (desktop, mobile, web) e accedi di nuovo solo dai tuoi dispositivi.
- Password manager: migra password deboli/riutilizzate verso credenziali uniche e robuste (almeno 14–16 caratteri, casuali).
Aggiornamenti e scansioni: difesa in profondità
Anche se qui parliamo di un ricatto finto, mantenere l’endpoint sano è strategico:
- Aggiorna Windows o il tuo sistema operativo e i principali software (browser, suite Office).
- Assicurati che Windows Defender o il tuo antivirus di fiducia sia attivo e aggiornato.
- Esegui una scansione completa e, se disponibile, una scansione offline per rilevare minacce persistenti.
Comunicare con i contatti in modo proattivo
È raro che i truffatori scrivano ai tuoi contatti, ma puoi prevenire fraintendimenti informandoli. Un messaggio tipo:
Ciao, potresti ricevere email “da parte mia” con minacce e richiesta di pagamento. È una truffa basata su vecchie password e falsificazione del mittente. Se ti capita, non aprire allegati, non rispondere e cancella. Ho già messo in sicurezza il mio account.
Per chi gestisce un proprio dominio: SPF, DKIM e DMARC
Se invii posta da un dominio personale/aziendale, configura correttamente le policy per ridurre lo spoofing in uscita e aiutare i destinatari a riconoscere email contraffatte.
SPF (Sender Policy Framework)
Elenca chi è autorizzato a inviare email per il tuo dominio. Esempio di record TXT:
v=spf1 include:mailprovider.example include:spf.sendservice.example -all
Usa -all (fail) o ~all (softfail) a seconda della maturità della configurazione.
DKIM (DomainKeys Identified Mail)
Firma crittograficamente le tue email. Genera una chiave (preferibilmente 2048-bit) e pubblica il record TXT con il selettore scelto:
selector1._domainkey.tuodominio.it IN TXT "v=DKIM1; k=rsa; p=CHIAVE-PUBBLICA"
DMARC (Domain-based Message Authentication, Reporting & Conformance)
Definisce cosa fare quando SPF/DKIM falliscono e invia report. Inizia con p=none, poi passa gradualmente a quarantine e quindi reject quando sei sicuro:
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-rua@tuodominio.it; ruf=mailto:dmarc-ruf@tuodominio.it; aspf=s; adkim=s
I report DMARC (rua/ruf) ti aiutano a scoprire chi invia davvero col tuo dominio e a correggere allineamenti.
Segnali che potrebbero indicare una reale compromissione
La stragrande maggioranza di questi casi è puro bluff, ma presta attenzione se noti:
- Accessi recenti da località o dispositivi sconosciuti.
- Regole di inoltro/create da “nessuno”.
- Email inviate “da te” che non riconosci nella cartella Posta inviata.
- Notifiche di mancata consegna (bounce) relative a messaggi che non hai spedito.
In questi casi, oltre alle azioni già indicate (rotazione password, 2FA, chiusura sessioni), considera di modificare le impostazioni di recupero e rivedere ogni app con accesso all’account.
Domande frequenti
Possono infettare i miei contatti?
No, a meno che non abbiano davvero compromesso il tuo account (evento raro). Le minacce di inviare “a tutta la rubrica” sono per lo più finzione. Se vuoi, invia un avviso preventivo ai contatti principali.
Devo rispondere per dire che segnalerò la cosa?
No. Non rispondere. Ogni risposta conferma che l’indirizzo è attivo e può portare a più spam.
Ho già cambiato password e chiuso le sessioni: basta così?
Quasi sempre sì. Aggiungi 2FA, verifica regole/inoltri e app autorizzate. Crea anche filtri per gestire messaggi simili.
Perché la mia casella non “blocca” email da me stesso?
Perché il campo From: può essere manipolato. I provider usano controlli come SPF/DKIM/DMARC per stimare l’autenticità, ma non possono bloccare a priori tutto ciò che “sembra” venire da te: causerebbe falsi positivi.
Pago per chiudere la questione?
Mai. Pagare ti espone a ulteriori tentativi di estorsione e non rimuove alcun presunto materiale (che non esiste).
Checklist rapida (stampabile)
- ☐ Ignora e cancella il messaggio (o segnala come spam).
- ☐ Non pagare e non rispondere.
- ☐ 2FA attiva sull’account email e sui servizi critici.
- ☐ Chiudi tutte le sessioni e rivedi accessi recenti.
- ☐ Controlla regole/inoltri sospetti.
- ☐ Revoca app/token non riconosciuti.
- ☐ Scansione antivirus completa.
- ☐ Filtri su parole chiave (Bitcoin, “48 ore”, “vecchia password”, “ti ho registrato”).
Modelli pronti per filtri e regole
Query “Contiene le parole” per Gmail (da copiare)
subject:(bitcoin OR criptovaluta OR "48 ore" OR "ti ho registrato" OR "ti ho ripreso")
OR ("la tua password" OR "vecchia password" OR "ho attivato la tua webcam")
OR ("pagami" OR "tiro giù i tuoi account" OR "invio ai tuoi contatti")
Azione consigliata: Elimina o Contrassegna come spam + Applica etichetta per monitoraggio.
Parole chiave per regola in Outlook
- L’oggetto contiene: bitcoin, criptovaluta, “48 ore”, “ti ho registrato”.
- Il corpo contiene: “la tua password”, “ho attivato la tua webcam”.
- Azione: sposta in Posta indesiderata o Elimina.
Come riconoscere a colpo d’occhio una sextortion
| Segnale | Descrizione | Valutazione |
|---|---|---|
| Richiesta in criptovaluta | Indirizzo Bitcoin o simile nel testo. | Quasi certo tentativo di estorsione. |
| Ultimatum “48 ore” | Scadenza rigida e urgente. | Tattica psicologica, non prova tecnica. |
| Vecchia password in chiaro | Password usata in passato su altri siti. | Dato da vecchi leak, non da infezione attuale. |
| Mittente uguale al tuo | Campo From: falsificato. | Classico spoofing SMTP. |
Note importanti su privacy e prove
- Conservazione: se intendi sporgere denuncia, conserva un esemplare del messaggio con le intestazioni complete.
- Non inoltrare indiscriminatamente: evita di girare l’email a più colleghi; condividi solo con chi deve analizzarla.
- Niente allegati: non aprire file o link contenuti nel messaggio.
Conclusioni
Queste email di ricatto sono un classico schema di sextortion che sfrutta vecchi dati da violazioni e lo spoofing del mittente. La risposta corretta è semplice: cancella, segnala e rafforza la sicurezza con password uniche e 2FA. Pagare o rispondere non offre vantaggi e alimenta nuove truffe. Con pochi accorgimenti (filtri mirati, controllo delle regole, aggiornamenti e scansioni) puoi ridurre drasticamente il fastidio e navigare più sereno.
In sintesi: nessuno ha realmente i tuoi video; stanno solo tentando di spaventarti usando vecchie password e intestazioni falsificate. Prendi le misure indicate, e l’efficacia di queste campagne crollerà.
—
Riepilogo tecnico per professionisti
- Threat model: campagne massificate, contenuto localizzato via traduzione automatica, target generico; obiettivo massimizzare conversione psicologica.
- TTPs: spoofing
From:; invio da IP compromessi o botnet; payload nullo o link verso wallet pubblico; eventuali allegati rari. - Contromisure: MTA con enforcement SPF/DKIM/DMARC; quarantena per fail; dissuasione utente; filtri NLP/keyword; SIEM con regole su pattern ricorrenti.
- Metriche: tasso di recapito in Inbox; click rate; time-to-mitigate; tasso di falsi positivi delle regole.
Per i team IT: valutate gradualità DMARC (none → quarantine → reject), allineamenti aspf/adkim=s, chiavi DKIM 2048-bit, monitoraggio RUA/RUF e inventario completo degli originatori legittimi (servizi marketing, CRM, helpdesk) per evitare blocchi di posta lecita.