Gli indagati, nell’illusoria speranza di rimanere anonimi, pubblicavano le immagini per la vendita sui social network “ВКонтакте” (“VKontakte”, abbreviato VK, conosciuto come la versione russa di Facebook) e Telegram.
Spiavano ignari cittadini violando telecamere di videosorveglianza installate in abitazioni, studi medici, alberghi, spogliatoi di piscine e palestre: disarticolati dalla Polizia di Stato due gruppi criminali.
L’operazione
Messo KO un vero e proprio “sistema” criminale finalizzato alla violazione, mediante intrusioni informatiche, di impianti di videosorveglianza installati per lo più presso private abitazioni. L’operazione è stata frutto dell’attività di polizia giudiziaria, durata oltre un anno e conclusasi nei giorni scorsi con 10 perquisizioni eseguite su tutto il territorio nazionale, gli investigatori della Polizia Postale di Milano e del Servizio Polizia Postale e delle Comunicazioni di Roma, coordinati dalla Procura della Repubblica di Milano.
L’inquietante fenomeno è stato scoperto grazie alla segnalazione di un cittadino e agli sviluppi dell’analisi forense compiuta sullo smartphone sequestrato a uno degli indagati nell’ambito di un altro procedimento penale, relativo a reati di altra natura.
La ricostruzione della filiera delittuosa e l’identificazione degli autori delle condotte illecite hanno comportato eccezionali sforzi investigativi, anche in considerazione degli accorgimenti adottati dai sodalizi criminali per anonimizzarsi sulla rete internet e sfuggire alle azioni di contrasto delle Autorità.
Come hanno avuto accesso alle telecamere di videosorveglianza
Nell’ambito dei due gruppi criminali scoperti dagli investigatori (per uno dei quali – il più corposo – si configura una vera e propria associazione per delinquere), gli indagati avevano ruoli e compiti ben definiti: i più esperti in materia informatica scandagliavano la rete alla ricerca di impianti di videosorveglianza connessi ad internet; una volta individuati, li facevano oggetto di veri e propri attacchi informatici che consentivano, ricorrendo determinate condizioni, di scoprire le password degli NVR (ossia dei videoregistratori digitali a cui normalmente vengono collegate le telecamere di videosorveglianza) e di accedere ai relativi impianti. Raccolte le credenziali di accesso, era compito di altri appartenenti ai gruppi criminali verificare la tipologia degli impianti, gli ambienti inquadrati e la qualità delle riprese, allo scopo di individuare telecamere che riprendessero luoghi particolarmente “intimi”, come bagni e camere da letto.
L’obiettivo finale era infatti quello di carpire immagini che ritraessero le ignare vittime durante la consumazione di rapporti sessuali o atti di autoerotismo. In alcuni casi, le immagini facevano riferimento a telecamere installate presso alberghi, studi medici e spogliatoi di palestre e piscine. Al termine di tale selezione, le credenziali di accesso venivano affidate ad altri sodali che, attraverso “vetrine” online create ad hoc, le mettevano in vendita sulla rete. I proventi illeciti venivano reinvestiti nell’acquisto di sempre più aggiornati software per l’effettuazione degli attacchi informatici.
La vendita delle immagini su due social
I luoghi virtuali scelti dagli indagati per i loro propositi illeciti, nell’illusoria speranza di rimanere anonimi, erano il social network “ВКонтакте” (“VKontakte”, abbreviato VK, conosciuto come la versione russa di Facebook) e Telegram.
Al termine delle perquisizioni, gli operatori della Polizia Postale hanno sequestrato 10 smartphone, 3 workstation, 5 PC portatili, 12 hard disk e svariati spazi cloud, per una capacità di storage complessiva di oltre 50 Terabyte. Sono stati inoltre sequestrati tutti gli account social utilizzati dagli indagati per il compimento delle condotte delittuose e diverse migliaia di euro (anche in criptovaluta).
Come installare una videosorveglianza a prova di cybersecurity. I consigli della Polizia di Stato
La Polizia Postale raccomanda di affidarsi, nell’installazione di impianti di videosorveglianza, a professionisti di comprovata affidabilità, evitando soluzioni “fai da te”, a meno che non si disponga di solide e specifiche competenze tecniche. Gli attuali sistemi di videosorveglianza, infatti, sono a tutti gli effetti sistemi informatici connessi ad internet e, come tali, sono esposti alle fisiologiche insidie della rete. Necessitano quindi di costanti aggiornamenti software per eliminare vulnerabilità di sistema e, naturalmente, vanno configurati in maniera adeguata. Ad esempio, è preferibile inibire l’accesso tramite web per il controllo remoto delle telecamere e optare per sistemi “peer to peer” tramite cloud (a patto però che ci si orienti verso dispositivi realizzati da primarie aziende del settore, evitando assolutamente prodotti acquistabili online a basso costo). Inoltre, anche se può apparire scontato e banale, si raccomanda sempre di cambiare la password di default per l’accesso all’interfaccia di configurazione – scegliendone una robusta, che contenga almeno otto caratteri, con lettere minuscole, maiuscole (possibilmente non all’inizio), numeri e caratteri speciali – e orientare le telecamere in modo da non inquadrare bagni, camere da letto e altri ambienti “sensibili” per l’intimità delle persone.
