Hai ricevuto un’email “da te stesso” che minaccia di diffondere dati o video privati e pretende Bitcoin? È quasi certamente sextortion phishing. Qui trovi come riconoscerla, verificare rapidamente se l’account è davvero compromesso, mettere in sicurezza casella e dispositivi e prevenire futuri tentativi.
Panoramica della minaccia
Le campagne di sextortion phishing sfruttano lo spoofing dell’indirizzo mittente: l’email sembra provenire dal tuo stesso account, creando un forte impatto emotivo. I truffatori affermano di aver installato malware, registrato il tuo schermo o la webcam, rubato contatti e file, e ti impongono un pagamento in Bitcoin entro poche ore. In realtà, nella stragrande maggioranza dei casi non possiedono nulla di quanto dichiarano e non hanno accesso ai dispositivi.
Problema
Un’email intimidatoria, apparentemente inviata dal proprio indirizzo (“spoofing”), sostiene che l’account e tutti i dispositivi siano stati compromessi, minaccia la diffusione di dati sensibili e chiede un riscatto in Bitcoin entro 48 ore.
Soluzione sintetica
- Non pagare il riscatto
- Si tratta di uno schema di “sextortion phishing”: il mittente non possiede né video né accesso ai tuoi dispositivi.
- Verificare se vi è stata realmente una violazione
- Controlla l’account e‑mail
- Cartelle Posta inviata, Posta eliminata e Regole/inoltri automatici: assenza di invii sospetti conferma che non si è spedito nulla.
- Analizza l’intestazione completa del messaggio (Message Source): l’IP di origine e i record SPF/DKIM/DMARC mostreranno che l’e‑mail non è partita dal tuo server di posta.
- Esamina l’attività di accesso
- In Outlook/Microsoft, vai su Sicurezza ▸ Attività recenti; in Gmail, Dettagli account. Assenze di login anomali indicano che la casella non è stata violata.
- Esegui una scansione antivirus/anti‑malware sul computer e sullo smartphone per escludere infezioni locali.
- Controlla l’account e‑mail
- Rafforzare la sicurezza dell’account
- Abilita autenticazione a due fattori (2FA) o, se disponibile, passkey.
- Cambia la password con una frase lunga e unica e aggiorna le domande di recupero.
- Mantieni sistema operativo, browser e software di sicurezza aggiornati.
Segnali per riconoscere lo spoofing e la sextortion
- Pressione temporale: ultimatum di 24–72 ore per pagare.
- Richiesta di Bitcoin: pagamento non tracciabile o non reversibile.
- Minacce generiche: riferimenti vaghi a “video” o “dati” senza dettagli verificabili.
- Presenza di una vecchia password: spesso reperita da vecchi leak pubblici; non indica accesso al dispositivo.
- Mittente uguale al destinatario o Return‑Path sospetto.
- Linguaggio allarmistico, errori grammaticali o traduzioni automatiche.
Verifica tecnica della casella e‑mail
Controllo immediato nelle cartelle
- Apri Posta inviata e verifica che non ci siano messaggi che non riconosci.
- Controlla Posta eliminata/Cestino per eventuali elementi rimossi di recente.
- Apri Regole/Filtri e Inoltri: elimina inoltri sconosciuti e regole che spostano i messaggi in cartelle “nascoste”.
Analisi dell’intestazione completa
L’intestazione (header) rivela da dove è partita l’email e come i server l’hanno valutata. Gli elementi chiave:
- Received: catena di server attraversati; guarda il primo Received vicino all’origine per IP e dominio.
- Return‑Path / Envelope‑From: indirizzo usato per la consegna. Può differire dal campo From.
- Authentication‑Results: esiti di SPF, DKIM e DMARC.
Come visualizzare l’header:
- Gmail: apri il messaggio → menu ⋮ → Mostra originale. Troverai un riepilogo con SPF, DKIM e DMARC e l’intero sorgente.
- Outlook sul Web: apri il messaggio → Altro (…) → Visualizza origine messaggio.
- Outlook desktop: messaggio aperto → scheda File → Proprietà → sezione Intestazioni Internet.
Esempio semplificato di intestazione che indica spoofing (domini di fantasia):
Authentication-Results: example.com;
spf=fail (example.com: domain of spoof@fake-mail.tld does not
designate 203.0.113.77 as permitted sender) smtp.mailfrom=spoof@fake-mail.tld;
dkim=none (no signature);
dmarc=fail (p=none dis=none) header.from=tuo-dominio.it
Received: from unknown-host (203.0.113.77)
by mx.example.com with ESMTP; Mon, 20 Oct 2025 10:13:21 +0000
Return-Path: <[spoof@fake-mail.tld](mailto:spoof@fake-mail.tld)>
From: "Il tuo indirizzo" <[tuonome@tuo-dominio.it](mailto:tuonome@tuo-dominio.it)>
Subject: "Ti ho registrato dalla webcam..." Come leggere gli esiti:
- SPF: confronta l’IP del server mittente con quelli autorizzati dal dominio nel record SPF. pass indica corrispondenza; fail/softfail/neutral sono indicatori di spoofing.
- DKIM: verifica la firma crittografica dell’header. dkim=pass rafforza l’autenticità del dominio del From.
- DMARC: richiede allineamento tra il dominio del From e quello che ha passato SPF o DKIM. Se vedi dmarc=fail e il messaggio è comunque arrivato, è probabile che il dominio di From sia stato usato abusivamente.
Esame dell’attività di accesso
Conferma che nessuno abbia effettuato login nel tuo account:
- Gmail: apri la casella → in basso a destra clicca Dettagli (sotto “Ultima attività sull’account”) per visualizzare indirizzi IP, località e dispositivi recenti.
- Microsoft/Outlook: vai al tuo profilo di sicurezza → Attività recenti per consultare accessi, posizione, ora e tipo di dispositivo.
Non vedere accessi anomali è un’ulteriore conferma che si tratta di spoofing e non di compromissione.
Scansione dei dispositivi
- Aggiorna definizioni dell’antivirus/EDR.
- Esegui una scansione completa su PC e smartphone.
- Se usi estensioni del browser poco note, valuta di rimuoverle temporaneamente.
- Verifica che la protezione in tempo reale e il firewall siano attivi.
Ripristino sicurezza dell’account
- Modifica password: usa una passphrase lunga, unica e casuale (almeno quattro parole o 16+ caratteri).
- Abilita 2FA o passkey su tutti gli account principali (email, social, cloud).
- Rivedi i metodi di recupero: email secondaria e numero di telefono aggiornati.
- Revoca accessi di app e servizi terzi non più necessari.
Passaggi operativi consigliati
| Passaggio | Strumento | Cosa fare |
|---|---|---|
| Analisi intestazioni | Header Analyzer online | Incolla l’intera intestazione del messaggio e verifica IP, SPF, DKIM, DMARC. |
| Controllo regole | Impostazioni e‑mail → Regole | Assicurati che non esistano filtri di inoltro non autorizzati. |
| Revisione log | Portale sicurezza dell’account | Disconnetti eventuali sessioni sconosciute e reimposta la password. |
| Scansione dispositivi | Antivirus/EDR | Aggiorna le definizioni e avvia una scansione approfondita. |
Versione estesa con tempi e risultato atteso
| Attività | Dove | Tempo | Risultato atteso | Se trovi anomalie |
|---|---|---|---|---|
| Verifica Posta inviata/Eliminata | Client di posta | 5 min | Nessun invio non riconosciuto | Cambia password e sign‑out da tutti i dispositivi |
| Controllo regole e inoltri | Impostazioni account | 5 min | Nessuna regola sospetta | Elimina regole e inoltri non autorizzati |
| Header check SPF/DKIM/DMARC | Sorgente messaggio | 10 min | spf=fail/dkim=none/dmarc=fail → spoofing | Se spf/dkim=pass e domini allineati, cambia credenziali |
| Revisione accessi recenti | Portale sicurezza | 5 min | Nessun login anomalo | Revoca sessioni, abilita 2FA, indaga IP/luogo |
| Scansione anti‑malware | PC e smartphone | 30–90 min | Zero minacce | Metti in quarantena, rimuovi, riavvia e ripeti la scansione |
Azioni se hai cliccato, allegato o pagato
- Se hai cliccato un link: disconnetti temporaneamente il dispositivo dalla rete, cambia subito le password degli account digitati dopo il clic e attiva 2FA.
- Se hai aperto un allegato: esegui scansione completa; se rilevi minacce, rimuovi e aggiorna tutti i software.
- Se hai pagato: sui pagamenti in criptovaluta il recupero è improbabile; conserva l’email, l’ID del portafoglio e la ricevuta del pagamento e valuta una segnalazione alle autorità competenti.
Perché l’email può sembrare “inviata da te”
Lo spoofing altera l’header visibile (From) senza passare dal tuo account. In assenza di autenticazioni solide o in presenza di regole di consegna permissive, i server di destinazione possono accettare il messaggio. Qui entra in gioco il trio SPF/DKIM/DMARC:
- SPF: elenca i server autorizzati a inviare per un dominio.
- DKIM: firma i messaggi con una chiave privata e consente verifica pubblica.
- DMARC: definisce la policy di come trattare messaggi che non superano SPF/DKIM in allineamento con il dominio del From (none/quarantine/reject).
Buone pratiche per il futuro
- Diffida di urgenze e minacce: sono chiari indicatori di social engineering.
- Non cliccare link né aprire allegati in messaggi sospetti, anche se sembrano provenire da te stesso o da contatti fidati.
- Usa un password manager per creare credenziali uniche e robuste.
- Monitora eventuali violazioni di database pubblici (es. servizi di verifica di data breach) e cambia le password esposte.
- Segnala l’e‑mail come phishing (Outlook ► Segnala ▸ Phishing; Gmail ► Altro ▸ Segnala phishing) per migliorare i filtri.
- Attiva backup automatici e verifica periodicamente il ripristino.
Approfondimento per amministratori e PMI
Se gestisci un dominio aziendale, riduci drasticamente lo spoofing verso i tuoi utenti e l’esterno:
- Configura SPF con l’elenco aggiornato di tutti i servizi che inviano mail per tuo conto.
- Firma l’uscita con DKIM e ruota le chiavi periodicamente.
- Imposta DMARC a p=quarantine e poi p=reject dopo un breve periodo di monitoraggio, includendo i report rua/ruf per visibilità.
- Valuta MTA‑STS e TLS‑RPT per forzare TLS sui trasporti e monitorare problemi di consegna.
- Per la brand protection, BIMI può migliorare la fiducia visuale nei client che lo supportano.
- Automatizza l’alerting su regole di inoltro anomale e su login insoliti.
FAQ su spoofing, sextortion e Bitcoin
Se l’email contiene una mia vecchia password, significa che mi hanno hackato?
No. Molti criminali usano password provenienti da vecchi leak pubblici. Se quella password è ancora in uso da qualche parte, cambiala subito e abilita 2FA.
Possono davvero accendere la mia webcam senza che me ne accorga?
È altamente improbabile. In ogni caso, una scansione anti‑malware aggiornata e sistemi operativi aggiornati riducono drasticamente il rischio.
Come faccio a essere certo che non abbiano i miei file?
Assenza di login anomali, di messaggi inviati dalla tua casella e header con SPF/DKIM/DMARC non validi verso il tuo dominio sono indicatori solidi che si tratta di spoofing.
Perché chiedono Bitcoin?
Perché le transazioni sono difficili da tracciare e non reversibili; è una strategia tipica delle estorsioni online.
Devo rispondere al mittente?
No. Segnala come phishing e ignora. La risposta confermerebbe solo che la casella è monitorata.
Checklist pronta all’uso
- Non pagare e non rispondere.
- Segnala come phishing al provider di posta.
- Controlla Inviata/Eliminata/Regole/ Inoltri.
- Visualizza e interpreta l’header (SPF/DKIM/DMARC).
- Rivedi gli accessi recenti a Gmail/Outlook.
- Esegui scansione completa su PC e smartphone.
- Cambia password e abilita 2FA/passkey.
- Revoca sessioni e app terze non necessarie.
- Valuta segnalazione alle autorità se hai versato denaro.
Esempi di messaggi e differenze tra spoofing e account compromesso
| Scenario | Indicatori | Azioni prioritarie |
|---|---|---|
| Spoofing del mittente | SPF/DKIM/DMARC falliscono; nessun invio dalla tua casella; nessun login anomalo | Segnala phishing; nessun pagamento; rafforza sicurezza come prevenzione |
| Account compromesso | Accessi da località sconosciute; regole di inoltro; messaggi inviati non tuoi | Reset password; 2FA; chiudi sessioni; rimuovi regole; scansione dispositivi |
Modelli di comunicazione interna
Avviso al team (se in azienda):
Abbiamo rilevato email di sextortion con mittente “spoofato”. Non pagate, non rispondete, non cliccate link. Se avete dubbi, inoltrate il messaggio all’IT come allegato .eml. Effettuate il cambio password e verificate 2FA attiva.
Consigli di resilienza personale
- Prepara in anticipo una “risposta standard” mentale a minacce online: non pagare, segnalare, verificare.
- Programma una manutenzione mensile: aggiornamenti, revisione 2FA, pulizia app collegate, controllo password esposte.
- Se l’ansia persiste, ricorda: questi schemi sono industrializzati e non targettizzati; puntano sui grandi numeri, non su di te personalmente.
In sintesi
L’e‑mail che hai ricevuto non prova alcun accesso illecito: è un tentativo di estorsione tramite spoofing. Per tranquillizzarti, verifica log e intestazioni, abilita 2FA e aggiorna le password, esegui una scansione anti‑malware e non inviare denaro ai truffatori. Con poche misure strutturali — autenticazioni del dominio, igiene delle credenziali e segnalazioni — puoi neutralizzare oggi l’attacco e ridurne drasticamente l’efficacia in futuro.
Riepilogo operativo
- Non pagare e non rispondere al ricattatore.
- Conferma lo spoofing con l’header (SPF/DKIM/DMARC) e l’assenza di login anomali.
- Metti in sicurezza con password uniche, 2FA/passkey, revoca di app e sessioni.
- Sanifica i dispositivi con scansioni complete e aggiornamenti.
- Prevenzione continua: formazione, monitoraggio di eventuali esposizioni di credenziali e policy DMARC adeguata.
Se gestisci un dominio aziendale, pianifica a breve la piena adozione di SPF, DKIM e DMARC con enforcement e report: è il modo più efficace per impedire che il tuo nome venga usato per truffare altri.