Magazine

Posta Elettronica Certificata: attenzione al ransomware

26/08/2019
PEC e ransomware
La Posta Elettronica Certificata è uno strumento ampiamente diffuso tra aziende, enti e professionisti italiani, non solo per obblighi di normativi ma anche per l’effettiva comodità e praticità di tale strumento, che consente un notevole risparmio di tempo e di costi.
Le comunicazioni elettroniche certificate, inoltre, hanno validità pari a quelle delle raccomandate tradizionali con avviso di ricevimento.

Tale diffusione, d’altra parte, è stata di recente oggetto di un tentativo di “infezione” dei sistemi tramite attacchi cosiddetti ransomware. Complice l’obbligatorietà della fatturazione elettronica, che oramai coinvolge quasi tutti i soggetti di imposta, è circolato recentemente un messaggio a carattere fraudolento, il cosiddetto phishing: l'oggetto del messaggio fa riferimento all’emissione di una fattura elettronica ed il contenuto all’invio di una “fattura di cortesia”. Al messaggio vi è allegato un file in formato .pdf (si ricorda che le fatture provenienti dal Sistema di Interscambio hanno formato XML o P7M) contenente, appunto, un virus di tipo ransomware. Il virus, in grado di cifrare tutti i contenuti del disco della vittima, attacca il sistema in caso di apertura del file .

Come chiarito nelle Linee Guida pubblicate dal CERT nazionale un ransomware è una particolare tipologia di malware che attacca i dispositivi dei destinatari limitandone l’accesso alle risorse (normalmente attraverso tecniche di cifratura dei file). Il nome del malware deriva dal fatto che tale “blocco” delle risorse è finalizzato alla richiesta di un “riscatto” ai proprietari dei sistemi, al pagamento del quale gli attaccanti promettono di consegnare una “chiave” (ossia una password con cui attivare il meccanismo di decifratura) tramite la quale poter di nuovo accedere ai file residenti sul computer. Normalmente il pagamento del riscatto è richiesto tramite criptovaluta (Bitcoin o altre). 

Nel cosiddetto deep web vi sono addirittura dei servizi che offrono tutto il necessario per poter realizzare attacchi di questo tipo (il "ransomware as a service"), in cui vengono forniti dei veri e propri “kit” e l’attaccante deve solamente fornire l’elenco di indirizzi email a cui inviare i messaggi di phishing contenenti i file infetti. Addirittura, in questi casi, è previsto che il pagamento del “servizio” avvenga in misura percentuale ai riscatti incassati dall’attaccante.

I ransomware, inoltre, sono particolarmente efficaci in quanto i normali software antivirus difficilmente riescono a rilevarli; per farlo è necessario che tali software siano dotati di funzionalità in grado di gestire questo tipo di minacce, o in alternativa utilizzare specifici software che prendono il nome di anti-ransomware.

Gli attacchi di tipo ransomware di recente hanno preso di mira anche i sistemi di posta elettronica certificata che sono, per obbligo normativo, dotati di strumenti avanzati per la rilevazione di codice malevolo. Tuttavia, come per tutti i malware, vengono continuamente sviluppati nuovi ransomware con tecniche sempre più avanzate, per cui, pur tenendo sempre aggiornati i sistemi di protezione, c’è sempre un tempo critico che intercorre tra la diffusione di una nuova minaccia e la sua classificazione/inserimento nella lista delle minacce note.

Gli impatti sono rilevanti, a seconda della vittima, e possono comportare la perdita di informazioni, l’interruzione delle attività, perdite finanziarie collegate al tentativo di ripristino dei file o alla loro compromissione, danni reputazionali.

Oltretutto, il pagamento del riscatto non fornisce certezza che poi i file saranno ripristinati e, comunque, non assicura che l’infezione sia stata rimossa dal sistema. La diffusione e l’importanza di tali attacchi è stata dimostrata recentemente in un caso di ransomware che ha colpito un’importante società di Bologna, con la richiesta di un riscatto di circa 2 milioni di Euro.

Come ci si può difendere da tali “aggressioni informatiche”?

Innanzitutto è importante evidenziare che quando un tentativo di attacco ransomware viene tentato anche attraverso l’invio di messaggi di posta elettronica certificata è necessario seguire le buone regole di condotta a prevenzione dei fenomeni di phishing sempre pubblicate da CERT nazionale.
Inoltre, l'uso della posta elettronica certificata fornisce qualche precauzione in più, proprio perchè si tratta di uno scambio di comunicazioni 'certificate' .
Innanzitutto, il messaggio che si è diffuso negli ultimi tempi fa riferimento all’invio di “cortesia” di una fattura elettronica.

Nel sottolineare che le norme non prevedono alcun “invio di cortesia”, prima di aprire l’allegato a tale messaggio è bene comunque: 
  • verificare se l’indirizzo del mittente sia un indirizzo di posta elettronica certificata, perché, in caso contrario, si tratta di un messaggio che non ha la medesima rilevanza ed importanza di un messaggio PEC;
  • anche se il messaggio comunica che trattasi di una “fattura di cortesia” è opportuno verificare che effettivamente il mittente sia uno dei nostri fornitori “conosciuti”; 
  • in caso di dubbi circa la veridicità della comunicazione (in quanto non abbiamo mai richiesto prodotti o servizi dal mittente, oppure perché trattasi di indirizzo email o PEC a noi sconosciuto) non si deve aprire l’allegato se non prima di aver verificato l’effettiva presenza della fattura elettronica nel nostro cassetto fiscale;
  • tenere a mente che, ai sensi della normativa, il documento rilevante a tutti gli effetti di legge è quello che viene trasmesso tramite il Sistema d’Interscambio dell’Agenzia delle Entrate. Eventuali “fatture di cortesia” non hanno alcun valore e pertanto non devono essere né conservate né registrate.
Quest'ultima considerazione ci consente di affermare che un messaggio PEC contenente una “fattura di cortesia” può agevolmente essere cancellato dal sistema (anche senza aprire l’allegato) in quanto ciò che fa fede ai fini fiscali sono solamente i documenti inviati e ricevuti tramite il sistema delle Agenzie delle Entrate. Al fine di prevenire una tale tipologia di attacco è bene anche adottare delle norme di comportamento, e di sicurezza in generale, che consentano di non trovarsi “bloccati” in caso di un attacco di tale tipologia. Il documento del CERT italiano (che è bene ricordarlo è l’organismo che è deputato a fornire servizi di supporto, formazione, informazione e ricerca sui temi di cybersecurity in Italia) indica in tal senso alcune azioni utili, quali:  
  •   effettuare sempre un backup delle informazioni più importanti (e ricordiamo che i gestori di posta elettronica certificata spesso offrono questi servizi aggiuntivi sulle caselle PEC, proprio per la delicatezza delle informazioni che vi transitano). Accanto ai piani di backup dovrebbero anche essere attuate procedure per il restore dei dati (almeno per verificare la correttezza dei backup effettuati) e, soprattutto, è importante che i backup vengano mantenuti su apparecchiature che non siano accessibili dalla medesima rete “di produzione” (così da evitare che il ransomware si diffonda anche sui dati di riserva); in generale, in ottica ransomware, si raccomanda di effettuare backup periodici di documenti e dati importanti presenti sul proprio PC, in modo che il danno apportato dal ransomware è limitato e l’utente può procedere alla formattazione e al ripristino del proprio sistema;
  • applicare tutte gli aggiornamenti di sicurezza sui sistemi operativi e sul software applicativo;
  • attivare i servizi di scansione sui file scaricati;
  • disabilitare l’utilizzo di macro nei documenti di Microsoft Office;
  • utilizzare delle whitelist per i programmi software, evitando così l’avvio di software non conosciuti o non ricompresi nella stessa;
  • non cliccare sui link presenti all’interno delle email, soprattutto quando provenienti da fonti non certe o di dubbia autenticità; 
  • in caso di infezione con ransomware non pagare il riscatto, in quanto non garantisce affatto il ripristino dei file cifrati, ma anzi potrebbe avere l’effetto di alimentare l’attività criminale.
Come emerge, la migliore difesa per fenomeni come la trasmissione di messaggi PEC di phishing volti a far diffondere dei virus di tipo ransomware sulle apparecchiature dei destinatari, è l’adozione di buone regole di condotta e comportamento. 

In particolare, è utile sottolinearlo, qualora il messaggio faccia riferimento a “fatture di cortesia” è sempre bene tenere a mente che il nostro ordinamento non prevede né richiede di conservare o registrare tali documenti, dato che le fatture elettroniche “originali” (di cui è obbligatoria la conservazione e registrazione) sono solamente quelle che transitano attraverso il Sistema d’Interscambio. 

Ciò significa che, in presenza di messaggi del tipo di quello con cui si sta tentando di diffondere tale tipologia di virus, la miglior difesa è cestinare quel messaggio, così che da tale azione non potranno derivare conseguenze pregiudizievoli per la propria attività.