Magazine

Attività criminali ai danni degli utenti PEC: cosa sta succedendo e cosa si può fare per combattere fenomeni di phishing e malware

18/11/2019
Attività criminali ai danni degli utenti PEC: cosa sta succedendo e cosa si può fare per combattere fenomeni di phishing e malware
PMIPrivatiProfessionistiPubblica Amministrazione
Nelle ultime settimane vi sarà capitato di leggere di “campagne di attacco” a opera di criminali informatici che diffondono malware e virus nel web, o di avanzate tecniche di phishing per rubare dati preziosi agli utenti. Frodi informatiche di questo tipo fanno leva sull’attendibilità del mezzo utilizzato per diffondersi.
Ecco perché, oltre alla email tradizionale, anche la Posta Elettronica Certificata è diventata uno dei canali con cui tali criminali veicolano le loro “campagne di attacco”. A lanciare l’allarme è AssoCertificatori, Associazione dei Prestatori Italiani di Servizi Fiduciari Qualificati e dei Gestori Accreditati, che ha pubblicato una nota stampa per denunciare “attività criminali, campagne di malware e virus ai danni degli utenti PEC”.

Come funzionano le “campagne di attacco”?

Per organizzare l’attacco, il criminale informatico si appoggia su una Botnet, una rete di PC e dispositivi vari compromessi da malware. Queste postazioni di comuni utenti, che magari non sanno nemmeno di avere il PC infetto, sono la base dalla quale i criminali sferrano gli attacchi. I dispositivi che fanno parte della Botnet diventano quindi – spesso all’insaputa dei loro utilizzatori – veicolo di propagazione degli stessi virus che li hanno infettati e di frodi informatiche come quelle di seguito descritte.

Malspam

Come suggerisce il nome, si tratta della combinazione dei fenomeni di “malware” e “spam” e consiste nella diffusione di virus con tecniche di spamming via email. La sua finalità è l’amplificazione della Botnet sfruttando la diffusione tramite spam. Il componente informatico malevolo può essere contenuto negli eventuali allegati dell'email o può essere un link nel testo dell'email stessa. La sua finalità è quella di infettare la postazione per poi accedere a informazioni riservate (come nel caso del “banking trojan”, i dati bancari) da utilizzare in maniera illecita. Per saperne di più ti consigliamo di leggere la guida dedicata.

Phishing

Il fenomeno di invio/ricezione di email ingannevoli per rubare i dati di carte di credito o le credenziali di accesso a siti di ecommerce/home banking è piuttosto noto e lo abbiamo affrontato numerose volte nei mesi passati.

Social Engineering

In questo caso, il soggetto in questione è definito “ingegnere sociale” e invia ai suoi bersagli messaggi di posta elettronica per indurli a fare un’azione a suo vantaggio. Ad esempio potreste ricevere una email o una PEC da un sedicente Avvocato Rossi che vi chiede dei soldi per evitare azioni legali. Dietro quella casella di posta elettronica, ovviamente, tutto c’è fuorché un onesto laureato in legge.
È evidente che tecniche di frodi informatiche di questo tipo, che fanno leva sulla fiducia che il destinatario ha nei confronti del sedicente mittente, si possano servire illecitamente di uno strumento autorevole come Posta Elettronica Certificata per rendere i messaggi più convincenti, perché trasmessi su un canale certificato.

Esempi pratici di frodi via PEC?

L’osservatorio di CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) pubblica costantemente aggiornamenti sulle campagne malevole in corso.
Tra le notizie recentemente pubblicate, salta all’occhio un caso di phishing con avanzate logiche di social engineering. Immaginate di ricevere una PEC con oggetto “Invio File <XXXXXXXXXX>” all’interno della quale si fa riferimento a una fattura, ma non c’è alcun allegato. “Se non ci sono allegati, non vedo come potrei prendere un virus”, potreste pensare. E allora perché non rispondere al “nuovo indirizzo per inviare le prossime fatture”? Un fine meccanismo psicologico innescato da un criminale informatico per reperire informazioni e, probabilmente, organizzare un secondo attacco mirato.
Anche l’Agenzia delle Entrate ha riscontrato un caso analogo di phishing applicato alla fatturazione elettronica, nel quale il testo del messaggio dannoso appariva verosimile in quanto ripreso da una precedente comunicazione.
Un danno immediato, invece, lo si rischia di subire con la campagna ransomware FTCODE, dalla quale ci redarguisce sempre CERT-PA. Messaggi con nel corpo del messaggio un unico link che, nei casi riscontrati dall’osservatorio, risulta essere contestualizzato all’Ente ricevente. Caratteristica, questa, che potrebbe indurre la vittima a cliccare sul link e scaricare il file. Una leggerezza che potrebbe costare molto cara alla malcapitata vittima: l’archivio ZIP contenuto avvia una catena di infezione per cifrare i dati personali dell’utente.

Come fare per evitare le frodi?

Purtroppo è molto semplice che la propria postazione entri a fare parte di una Botnet: ad esempio è sufficiente inserire una chiavetta USB compromessa, o aprire sul proprio PC un file infetto magari scaricato in automatico navigando un sito internet compromesso, senza aver aggiornato l’antivirus.
Per questo ci deve essere consapevolezza da parte di ogni utente della necessità di assicurarsi che la propria postazione sia in uno stato di sicurezza informatica. A maggior ragione, quando da quella postazione si accede a caselle di Posta Elettronica Certificata, inserite in un circuito di traffico dati molto consistente.

Se il computer non è in sicurezza e da esso si accede a una casella di Posta Elettronica Certificata, è inevitabilmente probabile che quell’indirizzo PEC venga utilizzato per veicolare i malware. Ovviamente questa è solo una piccola parte dei danni che si possono subire se il proprio computer non è stato messo in sicurezza, permettendo di fatto l’accesso ai propri dati da parte di malintenzionati.

Questo rischia di consentire loro l’accesso ad aree protette come l’home banking o le aree pagamento di siti ecommerce con evidenti e serie probabilità di subire furti economici, anche ingenti.
Per evitare che questo avvenga, ci sono una serie di accorgimenti utili, suddivisi in due tipologie: gli atteggiamenti comportamentali sono tutte quelle cautele che è utile prendere per evitare di aprire il messaggio PEC ritenuto sospetto e che costituiscono un primo livello di sicurezza diretto da parte dell’utente; dall’altro lato, ci sono una serie di accorgimenti tecnici utili a evitare il problema dal punto di vista applicativo, come ad esempio tenere aggiornati il sistema antivirus e in generale tutti i software utilizzati ogni giorno.

L’utilizzo del " buon senso", ad ogni modo, è una buona norma da ricordare sempre. Di seguito alcune raccomandazioni per andare in questa direzione:
  • avere cura della propria password (non salvare le credenziali di accesso alla casella PEC nei vari form di accesso; non salvare la propria password all’interno di file mantenuti sui dispositivi; non utilizzo la medesima password per più applicativi; non comunicare la password a terzi);
  • non cliccare link se non si è sicuri che la URL a cui fanno riferimento sia lecita;
  • non scaricare gli allegati di mittenti sconosciuti;
  • prima di aprire un allegato non atteso, chiedere conferma al mittente;
  • effettuare una scansione antivirus della propria postazione e degli allegati che si intende aprire con software aggiornato e proveniente da fonti attendibili;
  • non eseguire le macro dei documenti Microsoft Office;
  • valutare con attenzione il contenuto dei messaggi: gli istituti di credito, come anche un provider, non chiedono di inserire dati sensibili all’interno di form online;
  • segnalare ad Aruba l'email tramite la sezione dedicata;
  • consultare sempre la pagina degli Avvisi per confrontare l'email ricevuta con quelle già censite dal personale Aruba e per essere sempre aggiornati su eventuali comunicazioni fraudolente in circolazione.

Come fare a sapere se la postazione è stata infettata?

Ci sono alcuni sintomi abbastanza chiari della compromissione dei tuoi dispositivi. Se la connessione sembra lenta o intermittente senza motivi plausibili, il computer è particolarmente lento nell’esecuzione dei programmi, o si aprono continuamente pop-up sospetti, è molto probabile che ti stia sfuggendo di mano il controllo della postazione. Quella lentezza inspiegabile potrebbe essere opera di un criminale informatico che sta utilizzando i tuoi sistemi per portare avanti le sue attività illecite.

Cosa fare se si sospetta di avere dispositivi compromessi?

Se hai anche solo il sospetto di aver perso il controllo della tua postazione, perché ti sei accorto di avere cliccato su un link di dubbia provenienza, oppure sei stato infettato da un malware, ti consigliamo di intervenire tempestivamente.
  1. Pulizia dei dispositivi | Per prima cosa, al fine di evitare successive ulteriori intrusioni, si raccomanda di mettere in sicurezza tutte le postazioni utilizzate, eseguendo tutti i controlli e gli interventi tecnici necessari a ripulire da infezioni dovute a malware e virus.
  2. Modifica della password | Appurata la “pulizia” dei dispositivi, si consiglia di procedere comunque alla variazione delle password di accesso utilizzate per i servizi web in generale (tra cui, ovviamente la PEC). La modifica periodica della password (con cadenza almeno trimestrale) rappresenta in generale una buona norma da rispettare nell’utilizzo delle proprie credenziali. Nello scegliere la nuova password, invitiamo di volta in volta a seguire i criteri sotto indicati:
    • scegliere una password di almeno otto caratteri;
    • usare sia lettere maiuscole che minuscole;
    • usare sia lettere che numeri;
    • non usare parole comuni;
    • non usare informazioni personali
    • non riutilizzare le stesse password per più applicativi.

Come fare a misurare il proprio livello di consapevolezza?

Phishing, malware e social engineering colpiscono anche le realtà più grandi del mondo IT. Colossi come Google si sono attrezzati per educare i propri utenti a riconoscere fenomeni di phishing e aumentare così i propri livelli di sicurezza. Ti consigliamo di provare questo quiz… ti potrebbe aiutare a non “abboccare”.


Prodotto menzionato
PEC
Scopri