Magazine

Phishing e malware via PEC: il fenomeno e le azioni di contrasto

13/01/2023
Phishing e malware via PEC: il fenomeno e le azioni di contrasto
PMIPrivatiProfessionistiPubblica Amministrazione
Sempre più spesso vi sarà capitato di sentire di “campagne malevole” a opera di criminali informatici che, tramite avanzate tecniche di phishing, hanno l’obiettivo di diffondere malware o rubare dati sensibili agli utenti. Frodi informatiche di questo tipo talvolta prendono di mira la PEC: poiché questa è certificata e utilizzata soprattutto per comunicazioni formali, i messaggi veicolati tramite essa hanno molta probabilità di essere considerati attendibili.
Ecco perché, oltre all’email tradizionale, anche la Posta Elettronica Certificata è diventata uno dei canali con cui tali criminali veicolano le loro “campagne di attacco”.
Il fenomeno, nonostante i numeri non siano preoccupanti, richiede un impegno costante nel riconoscere e bloccare in maniera tempestiva tali attacchi prima che possano diffondersi.
Affinché sia efficace, tale impegno richiede però il contributo attivo di tutti gli operatori dell’ecosistema PEC: dai gestori fino agli utenti finali.

Malspam

Come suggerisce il nome, si tratta della combinazione dei fenomeni di “malware” e “spam” e consiste nella diffusione di virus con tecniche di spamming via email. La sua finalità è l’amplificazione della Botnet, ovvero una rete di computer e dispositivi compromessi da malware, sfruttando la diffusione tramite spam. Il componente informatico malevolo può essere contenuto negli eventuali allegati dell'email o può essere un link nel testo dell'email stessa. La sua finalità è quella di infettare la postazione per poi accedere a informazioni riservate (come nel caso del “banking trojan”, i dati bancari) da utilizzare in maniera illecita. Per saperne di più consigliamo di leggere la guida dedicata.

Social Engineering e Phishing

Il fenomeno di invio/ricezione di email ingannevoli per rubare i dati di carte di credito o le credenziali di accesso a siti di e-commerce/home banking è piuttosto noto e lo abbiamo affrontato numerose volte nei mesi passati. Il phishing è considerato a tutti gli effetti uno strumento di ingegneria sociale, ovvero di sfruttamento delle vulnerabilità “umane” per carpire informazioni utili. In questo caso, il soggetto attaccante, definito “ingegnere sociale”, invia ai suoi bersagli messaggi di posta elettronica per indurli a fare un’azione a suo vantaggio. Ad esempio potreste ricevere un’email o una PEC da un sedicente Avvocato Rossi che vi chiede dei soldi per evitare azioni legali. Dietro quella casella di posta elettronica, ovviamente, tutto c’è fuorché un onesto laureato in legge.
È evidente che tecniche di frodi informatiche di questo tipo, che fanno leva sulla fiducia che il destinatario ha nei confronti del sedicente mittente, si possano servire illecitamente di uno strumento autorevole come la Posta Elettronica Certificata per rendere i messaggi più convincenti.

Andamento del fenomeno frodi via PEC

L’osservatorio di CERT- AGID (Computer Emergency Response Team AGID) pubblica costantemente aggiornamenti sulle campagne malevole in corso.
Ed è proprio degli ultimi giorni il report annuale sull’andamento delle campagne malevole in Italia nel 2022.
Già guardando i dati di sintesi, possiamo affermare che la PEC è riconosciuta come un mezzo sicuro per trasmettere informazioni: solo il 2,3% delle campagne infatti risulta essere veicolato tramite PEC.
Ma quello delle frodi è comunque un fenomeno esistente al quale sia gli organi di vigilanza sia i gestori stessi pongono grande attenzione.
All’interno del 2,3% di casi di frode tramite PEC, rientrano
  • campagne di attacco che usano come vettore la posta ordinaria indirizzata verso caselle PEC, è emerso un unico caso in cui la PEC è utilizzata come veicolo di malware (sLoad, un software malevolo che infetta i dispositivi delle vittime tramite il download dei file allegati ai messaggi PEC);
  • campagne che sfruttano le tecniche di Social Engineering, facendo leva, appunto, sull’autorevolezza del mezzo PEC. Ne sono una prova le email PEC con indirizzi mittenti falsi di istituti bancari o enti pubblici, che sfruttano il mezzo e il mittente per effettuare l’attacco.
Nella maggior parte dei casi in cui le PEC vengono utilizzate come veicolo di campagne di attacco, i messaggi inviati fanno riferimento a ordini e pagamenti e generalmente allegano documenti o fatture, per la visualizzazione dei quali viene richiesto il download dei file che contengono il software malevolo.

Come fare per evitare le frodi?

A livello di ecosistema, una grande attenzione è stata posta anche dagli organismi centrali e di governo verso il tema della cybersicurezza che ha portato, nel 2021, alla nascita dell’Agenzia per la cybersicurezza nazionale (Acn) e a importanti stanziamenti del Pnrr dedicati esclusivamente al mantenimento della sicurezza digitale.
Per quanto riguarda più specificatamente le frodi veicolate tramite PEC, da tempo sono in atto azioni in continuo aggiornamento da parte di più attori.
Ricordiamo innanzitutto il ruolo di controllore e supervisore di AgID, garante della sicurezza nell’erogazione del servizio.
A questo si aggiungono le attività dei gestori certificati (tra i quali Aruba PEC) che collaborano attivamente per la condivisione di informazioni relative agli attacchi, così che questi possano esser bloccati tempestivamente.

Infine, anche gli utenti hanno un ruolo determinante nell’evitare la trasmissione di frodi informatiche via PEC.

Per evitare che questo avvenga, ci sono una serie di accorgimenti utili, suddivisi in due tipologie: gli atteggiamenti comportamentali, ovvero tutte quelle cautele che è utile prendere per evitare di aprire il messaggio PEC ritenuto sospetto e che costituiscono un primo livello di sicurezza diretto da parte dell’utente.
Vi sono poi una serie di accorgimenti tecnici utili a evitare il problema dal punto di vista applicativo, come tenere aggiornati il sistema antivirus e in generale tutti i software utilizzati quotidianamente.

L’utilizzo del "buon senso", ad ogni modo, è una buona norma da ricordare sempre. Di seguito alcune raccomandazioni per andare in questa direzione:
  • avere cura della propria password (non salvare le credenziali di accesso alla casella PEC nei vari form di accesso; non salvare la propria password all’interno di file mantenuti sui dispositivi; non utilizzare la medesima password per più applicativi; non comunicare la password a terzi);
  • attivare il secondo fattore di autenticazione dove possibile. Sulle PEC di Aruba, ad esempio, è possibile attivare la verifica in 2 passaggi che consente di controllare e autorizzare ogni accesso alla PEC;
  • non cliccare link se non si è sicuri che la URL a cui fanno riferimento sia lecita;
  • non scaricare gli allegati di mittenti sconosciuti;
  • prima di aprire un allegato non atteso, chiedere conferma al mittente;
  • effettuare una scansione antivirus della propria postazione e degli allegati che si intende aprire con software aggiornato e proveniente da fonti attendibili;
  • non eseguire le macro dei documenti Microsoft Office;
  • valutare con attenzione il contenuto dei messaggi: gli istituti di credito, come anche un provider, non chiedono di inserire dati sensibili all’interno di form online;
  • segnalare ad Aruba l'email tramite la sezione dedicata;
  • consultare sempre la pagina degli Avvisi per confrontare l'email ricevuta con quelle già censite dal personale Aruba e per essere sempre aggiornati su eventuali comunicazioni fraudolente in circolazione.

Come fare a sapere se la postazione è stata infettata?

Ci sono alcuni sintomi abbastanza chiari della compromissione dei dispositivi. Se la connessione sembra lenta o intermittente senza motivi plausibili, il computer è particolarmente lento nell’esecuzione dei programmi, o si aprono continuamente pop-up sospetti, è molto probabile che vi stia sfuggendo di mano il controllo della postazione. Quella lentezza inspiegabile potrebbe essere opera di un criminale informatico che sta utilizzando i sistemi per portare avanti le sue attività illecite.

Cosa fare se si sospetta di avere dispositivi compromessi?

Se si ha anche solo il sospetto di aver perso il controllo della postazione, o vi è venuto il dubbio perché ricordate di aver cliccato su un link di dubbia provenienza, oppure se siete stati infettati da un malware, vi consigliamo di intervenire tempestivamente.

1.    Pulizia dei dispositivi | Per prima cosa, al fine di evitare successive ulteriori intrusioni, si raccomanda di mettere in sicurezza tutte le postazioni utilizzate, eseguendo tutti i controlli e gli interventi tecnici necessari a ripulire da infezioni dovute a malware e virus.

2.    Modifica della password | Appurata la “pulizia” dei dispositivi, si consiglia di procedere comunque alla variazione delle password di accesso utilizzate per i servizi web in generale (tra cui, ovviamente la PEC). La modifica periodica della password (con cadenza almeno trimestrale) rappresenta in generale una buona norma da rispettare nell’utilizzo delle proprie credenziali. Nello scegliere la nuova password, invitiamo di volta in volta a seguire i criteri sotto indicati:
  • scegliere una password di almeno otto caratteri;
  • usare sia lettere maiuscole che minuscole, e caratteri speciali;
  • usare sia lettere che numeri;
  • non usare parole comuni;
  • non usare informazioni personali;
  • non riutilizzare le stesse password per più applicativi.

Come fare a misurare il proprio livello di consapevolezza?

Phishing, malware e social engineering colpiscono anche le realtà più grandi del mondo IT. Colossi come Google si sono attrezzati per educare i propri utenti a riconoscere fenomeni di phishing e aumentare così i propri livelli di sicurezza. Vi consigliamo di provare questo quiz… vi potrebbe aiutare a non “abboccare”.
 


Newsletterbox