Magazine

Come capire se un allegato è pericoloso

07/09/2021
Come capire se un allegato è pericoloso
I numeri spiegano sempre tutto, ma nel caso degli allegati questo è ancor più vero. Tante, infatti, sono le statistiche che raccontano come questo utile e diffuso strumento informatico si trasformi, in determinate condizioni, nel peggior nemico della sicurezza di un utente o di un’intera azienda.

Stando a Purplesec, per esempio, è del 600% l’incremento delle attività cybercriminali da quando è iniziata la pandemia da Covid, e buona parte di questo si deve proprio a email contenenti link o allegati malevoli.
Uno studio Symantec, del resto, evidenzia che il 48% degli allegati malevoli a email è costituito da file d’ufficio, quindi documenti di testo, fogli di calcolo, pdf, presentazioni e via dicendo.

Il “successo” degli allegati come vettore d’attacco si spiega facilmente: si tratta di file nei quali si può nascondere agevolmente qualsiasi tipo di minaccia e, al tempo stesso, con del buon social engineering, è semplice indurre la vittima a cliccare.

Una vera e propria trappola informatica

Proprio a causa della versatilità dell’allegato come veicolo d’infezione, è necessario comprendere le dinamiche che lo trasformano in minaccia, prima ancora di imparare a come individuare un potenziale pericolo. Innanzitutto, occorre sottolineare che non tutti i malware sono uguali.

Alcuni sono sviluppati puntando a una diffusione di massa, e di solito sono scritti male, mentre altri mirano in modo preciso a soggetti o categorie di soggetti. Questi sono i più pericolosi, sviluppati meglio e il trend di settore li vede prendere sempre più piede.

A seconda di quale delle due tipologie di malware sceglie, il criminale informatico “aggancia” la trappola informatica al file da mettere in allegato. Può farlo in modo semplice, puntando su un gran numero di email inviate e su una piccola percentuale di utenti che cadranno nel tranello, oppure sfruttando alcune tecniche più letali, per nascondere al meglio la minaccia nell’allegato.

Nel primo caso, per il riconoscimento della minaccia basta un filtro anti-spam, di quelli integrati nei servizi webmail o in una comune soluzione antivirus.
Nel secondo, la strada è più complessa. Le principali tecniche di mascheramento dei malware negli allegati, infatti, sfruttano trucchi capaci di mettere KO i controlli automatici e far sì che il file infetto arrivi al cospetto dell’utente senza alcun tipo di avvertimento. A questo punto, se il criminale sfrutta del buon social engineering, non è troppo difficile indurre la vittima in tentazione: l’apertura del file dà il via all’infezione.

Allegati interattivi, apparentemente innocui

Un esempio perfetto di questa tecnica si ritrova già nei primissimi malware costruiti per infettare i comuni file PDF, ed è ancora molto utilizzata oggi.
Anziché integrare il malware all’interno del PDF, si preferisce creare un documento interattivo, per esempio un quiz, che richiede una qualche azione da parte di chi lo apre.

Il clic a una risposta corretta avvia l’esecuzione di uno script, cioè un micro-programma interno al PDF, che genera un file in una cartella del computer.
Ed è questo file che scatena l’azione malevola.
Quindi il PDF risulta a tutti gli effetti “pulito”, perché è il codice generato a essere malevolo.
L’insieme di tecnica e di social engineering creano l’arma perfetta: allegati apparentemente innocui ma capaci di veicolare qualsiasi tipo di minaccia, inclusi i temibili ransomware.
C’è modo di riconoscere questi allegati? Sì, ma occorre seguire qualche regola.

Controllare l’email: alcune regole da seguire

Per prima cosa, occorre controllare attentamente l’email che contiene l’allegato. Come detto, il social engineering è sempre parte di una email con allegato malevolo, poiché è richiesta l’interazione dell’utente.
Se il mittente è sconosciuto, si deve guardare il suo indirizzo completo e verificare che il dominio esista e sia attivo. E porre l’attenzione a eventuali contatti in cc: se sono tanti e molto variegati, c’è sentore di truffa.
Poi, un’analisi grammaticale del testo consente di evidenziare errori ripetuti, magari dovuti a una traduzione automatica o frettolosa da parte di un criminale informatico straniero.

Infine, si deve valutare il significato del testo: ce lo aspettiamo? I toni sono coerenti con eventuali richieste? Si sollecita un po’ troppo l’apertura del file? I segnali di una email malevola non sono difficili da cogliere, ma è importante essere preparati.

Il social engineering mira, sempre, a trovarci con una bassa soglia di attenzione e troppo istintivi nel decidere il da farsi. Analizzata l’email, è il momento di alcune indicazioni che riguardano gli allegati.

Occhio alle estensioni

In genere un allegato malevolo ha delle estensioni precise: zip, doc, xls, pdf, js, arj, scr, exe, com e jpg sono le più utilizzate. Si tratta di file che consentono di inserire agevolmente delle porzioni di codice malevolo, o di utilizzare tecniche, come quella vista, che rimandino a contenuti malevoli.
In genere un allegato deve essere “atteso”, cioè non dovrebbe arrivare come una sorpresa (pensiamo al certificato di vincita a una lotteria, o a una multa) e tutti quelli che non soddisfano questo requisito vanno verificati accertandosi che il mittente sia autentico e confermi la trasmissione dell’email.
Altro fattore a cui prestare attenzione è l’estensione del file.
Un’estensione del tipo “file.exe.jpg” è sempre veicolo di malware. Se utilizziamo un client, cioè un software di gestione della posta elettronica, occorre poi configurarlo in modo che possa schermarci dalle tecniche malware più comuni.

Per esempio, si deve disabilitare l’opzione che attiva le cosiddette “macro”, mentre non si dovrebbe mai disattivare un eventuale filtro di spam. E qualora una email apparentemente innocua finisca nell’antispam, controlliamola sulla base dei criteri visti: i moderni antispam hanno tecniche di analisi raffinate che, spesso, rilevano anomalie riconducibili a tecniche malevole.

Seguendo queste semplici regole è possibile evitare di cadere nelle più comuni trappole informatiche a base di allegati email e, di fatto, tenersi al riparo da oltre il 90% dei pericoli della Rete. Uno sforzo, quindi, che viene ampiamente ripagato.