Spiavano cittadini violando telecamere di videosorveglianza, polizia scopre gruppo criminale
8 Giugno 2022Grazie a una complessa e articolata attività di polizia giudiziaria, durata oltre un anno e conclusasi nei giorni scorsi con 10 perquisizioni eseguite su tutto il territorio nazionale, la Polizia di Stato di Milano, con il coordinamento dalla Procura della Repubblica di Milano, è riuscita a disarticolare un vero e proprio “sistema” criminale finalizzato alla violazione, mediante intrusioni informatiche, di impianti di videosorveglianza installati per lo più presso private abitazioni.
Gli investigatori della Polizia Postale di Milano e del Servizio Polizia Postale e delle Comunicazioni di Roma hanno scoperto l’inquietante fenomeno grazie alla segnalazione di un cittadino e agli sviluppi dell’analisi forense compiuta sullo smartphone sequestrato a uno degli indagati nell’ambito di un altro procedimento penale, relativo a reati di altra natura.
La ricostruzione della filiera delittuosa e l’identificazione degli autori delle condotte illecite hanno comportato eccezionali sforzi investigativi, anche in considerazione degli accorgimenti adottati dai sodalizi criminali per anonimizzarsi sulla rete internet e sfuggire alle azioni di contrasto delle Autorità.
Nell’ambito dei due gruppi criminali scoperti dagli investigatori (per uno dei quali – il più corposo – si configura una vera e propria associazione per delinquere), gli indagati avevano ruoli e compiti ben definiti: i più esperti in materia informatica scandagliavano la rete alla ricerca di impianti di videosorveglianza connessi ad internet; una volta individuati, li facevano oggetto di veri e propri attacchi informatici che consentivano, ricorrendo determinate condizioni, di scoprire le password degli NVR (ossia dei videoregistratori digitali a cui normalmente vengono collegate le telecamere di videosorveglianza) e di accedere ai relativi impianti. Raccolte le credenziali di accesso, era compito di altri appartenenti ai gruppi criminali verificare la tipologia degli impianti, gli ambienti inquadrati e la qualità delle riprese, allo scopo di individuare telecamere che riprendessero luoghi particolarmente “intimi”, come bagni e camere da letto. L’obiettivo finale era infatti quello di carpire immagini che ritraessero le ignare vittime durante la consumazione di rapporti sessuali o atti di autoerotismo. In alcuni casi, le immagini facevano riferimento a telecamere installate presso alberghi, studi medici e spogliatoi di palestre e piscine. Al termine di tale selezione, le credenziali di accesso venivano affidate ad altri sodali che, attraverso “vetrine” online create ad hoc, le mettevano in vendita sulla rete. I proventi illeciti venivano reinvestiti nell’acquisto di sempre più aggiornati software per l’effettuazione degli attacchi informatici.
I luoghi virtuali scelti dagli indagati per i loro propositi illeciti, nell’illusoria speranza di rimanere anonimi, erano il social network “ВКонтакте” (“VKontakte”, abbreviato VK, conosciuto come la versione russa di Facebook) e Telegram.
Al termine delle perquisizioni, gli operatori della Polizia Postale di Milano, Napoli e Catania hanno sequestrato 10 smartphone, 3 workstation, 5 PC portatili, 12 hard disk e svariati spazi cloud, per una capacità di storage complessiva di oltre 50 Terabyte. Sono stati inoltre sequestrati tutti gli account social utilizzati dagli indagati per il compimento delle condotte delittuose e diverse migliaia di euro (anche in criptovaluta).
COME DIFENDERSI
La Polizia Postale raccomanda di affidarsi, nell’installazione di impianti di videosorveglianza, a professionisti di comprovata affidabilità, evitando soluzioni “fai da te”, a meno che non si disponga di solide e specifiche competenze tecniche. Gli attuali sistemi di videosorveglianza, infatti, sono a tutti gli effetti sistemi informatici connessi ad internet e, come tali, sono esposti alle fisiologiche insidie della rete. Necessitano quindi di costanti aggiornamenti software per eliminare vulnerabilità di sistema e, naturalmente, vanno configurati in maniera adeguata. Ad esempio, è preferibile inibire l’accesso tramite web per il controllo remoto delle telecamere e optare per sistemi “peer to peer” tramite cloud (a patto però che ci si orienti verso dispositivi realizzati da primarie aziende del settore, evitando assolutamente prodotti acquistabili online a basso costo). Inoltre, anche se può apparire scontato e banale, si raccomanda sempre di cambiare la password di default per l’accesso all’interfaccia di configurazione – scegliendone una robusta, che contenga almeno otto caratteri, con lettere minuscole, maiuscole (possibilmente non all’inizio), numeri e caratteri speciali – e orientare le telecamere in modo da non inquadrare bagni, camere da letto e altri ambienti “sensibili” per l’intimità delle persone.