Crypto-truffa su Lightshot a colpi di screenshot

Le truffe che coinvolgono le criptovalute sembrano prendere sempre più piede. Sulla falsa riga di truffe che prendono di mira gli utenti di Discord e che offrono cryptomonete inesistenti su exchange fasulli o storie che fanno leva su fantomatici fortunati vincitori di criptomonete su siti di fake news, o che sfruttano l’esca dei “soldi dal’elicottero“, una nuova tecnica prevede l’uso di Lightshot, uno strumento per la condivisione di schermate, per ottenere denaro da cripto-investitori fin troppo curiosi.

Comodo non significa sicuro

Lightshot è uno strumento per creare, personalizzare e inviare rapidamente degli screenshot. È un’app per Windows, macOS o Ubuntu e per il portale cloud prnt.sc che consente agli utenti di condividere screenshot rapidamente e facilmente: un click o una scorciatoia invia un’immagine al cloud, che restituisce un URL per la condivisione.

Chiunque può vedere gli screenshot pubblicati senza autenticazione; non è nemmeno necessario un account Lightshot. Questo rende il servizio veloce e comodo da usare ma non molto sicuro.

Inoltre, per visualizzare uno screenshot, non è nemmeno necessario il link specifico; gli URL sono sequenziali, quindi se si sostituisce un carattere in uno di essi con il successivo in ordine, per esempio, si aprirà un’altra immagine. Il processo può anche essere automatizzato. Un semplice script per forzare gli URL e scaricarne il contenuto richiede solo pochi minuti di scrittura.

Non si tratta di un bug: il servizio avverte gli utenti che ogni immagine caricata è pubblica. Tuttavia, dato che le fughe di informazioni di valore tramite Lightshot fanno regolarmente notizia, evidentemente non tutti leggono i caratteri in piccolo.

Come avvengono le fughe di dati su Lightshot

Cosa succede se gli screenshot diventano di dominio pubblico? A chi interessano schermate che immortalano record di gioco o battute via messaggio? Pensate in modo creativo: gli utenti di Lightshot possono fare doxing a sé stessi in almeno tre modi plausibili.

Prendiamo, per esempio, un dipendente che scatta uno screenshot di un’interfaccia per ottenere aiuto nella configurazione di un nuovo programma, sembra tutto ok. Ora, cosa succede se un documento riservato è aperto, ma parzialmente nascosto sotto la finestra dell’applicazione? O se qualcuno condivide un’e-mail di lavoro esilarante e stupida con un amico fidato, solo per farsi una risata? O qualcuno mostra una chat intima ma dimentica di coprire nomi e indirizzi?

Una volta resi pubblici su Lightshot, questi screenshot potrebbero portare a guai seri. C’è gente molto fastidiosa online che va a caccia di foto rivelatrici solo per divertimento, poi ci sono i troll che possono usarle per molestare e i criminali informatici possono fare leva sulla minaccia di far circolare queste schermate per estorcere denaro alle vittime.

Una trappola per gli impiccioni

Allo stesso tempo, anche coloro che mantengono privati i propri dati di valore e controllano sempre gli screenshot per evitare effetti collaterali indesiderati, potrebbero accorgersi che il servizio nasconde comunque certe insidie. Per esempio, in un giorno qualsiasi il portale Lightshot contiene schermate con dettagli per accedere a un wallet di criptovalute. A volte, le schermate sembrano suggerire che l’account sia stato condiviso deliberatamente, alcune mostrano richieste di aiuto, altre sono bizzarre e non correlate. Abbiamo addirittura visto una nota di suicidio.

Screenshot della conversazione che mostra le credenziali di accesso a falsi account di criptomonete.

In altri casi sembra che le “credenziali” siano arrivate su Lightshot come per caso o per disattenzione. Per esempio, abbiamo visto degli screenshot che sembravano essere e-mail di recupero password per dei wallet di criptovalute.

False e-mail di reimpostazione della password per account di criptomonete altrettanto falsi

Se un utente entre nell’URL nello screenshot in cerca di facili guadagni, si troverà su un sito web che si spaccia per un exchange di criptomonete. Inserendo le credenziali si entra in un account falso che sembra contenere una quantità impressionante di criptovaluta, diciamo 0,8 BTC (più di 45.000 dollari al momento della pubblicazione di questo post). E dall’interno dell’account, la vittima può provare a ritirare i fondi e trasferirli sul proprio conto.

In questo caso, l’exchange richiede una piccola commissione. Non è nulla rispetto all’intera somma, ma essendo tutto falso non si farà altro che riempire le tasche dei truffatori. E poi “nulla” si fa per dire: una commissione di 0,001-0,0015 BTC, per esempio, ai tassi attuali di bitcoin, arriva a circa 60-90 dollari.

Tutto sommato, la tecnica sembra funzionare bene e ha una certa eleganza. Al momento della pubblicazione, circa 0,1 BTC (circa 6.000 dollari) sono stati trasferiti al wallet delle “commissioni”.

Come proteggere i vostri soldi e i vostri dati

Comodità non significa sicurezza o privacy, spesso il contrario. Il caso di Lightshot ne è solo un esempio. Ecco alcuni consigli per utilizzare e gestire gli screenshot in sicurezza:

• Prima di installare Lightshot, riflettete sul fatto di essere completamente convinti di voler condividere pubblicamente i vostri screenshot;

• Se decidete di andare avanti, ricordate che le informazioni riservate (dati bancari, password e altre informazioni personali) sono il pane quotidiano dei criminali informatici. Usate canali sicuri per condividerle, non Lightshot, o meglio ancora, non condividetele affatto;
• Se avete già usato Lightshot e ora vi pentite di aver condiviso qualcosa, risalite all’URL cercando nei vostri messaggi e cliccate sull’opzione corrispondente per la segnalazione, oppure inviate una richiesta a support@skillbrains.com;
• Usate gli strumenti e le scorciatoie integrate nel vostro sistema operativo per gli screenshot. Su Windows, usate lo Strumento di cattura o il pulsante Print Screen (o Stamp); gli utenti Mac possono premere Cmd-Shift-3 per salvare uno screenshot dello schermo intero o Cmd-Shift-4 per selezionare un’area di cui catturare la schermata.

Per essere chiari, non raccomandiamo in nessuna situazione di accedere ad account altrui, anche solo per curiosità. E per evitare di concedere per sbaglio le vostre credenziali di accesso ai cybercriminali mediante il phishing, usate una soluzione di sicurezza affidabile che vi avverta prontamente nel caso vi imbattiate in un sito sospetto.