28 Marzo 2024

Malware attraverso PEC: come comportarsi per evitare disastri?

Nel corso delle ultime settimane i professionisti, le pubbliche amministrazioni e chiunque sia munito di una casella di posta elettronica certificata (PEC) stanno subendo una serie di attacchi attraverso semplici allegati a messaggi e-mail. Sebbene i tentativi di attacco via e-mail esistano da anni e siano sempre riconoscibili per la presenza di dettagli che esulano dalla “normalità” del destinatario (es.: messaggi da banche di cui non si è clienti che annunciano il blocco del conto corrente), questa nuova ondata di attacchi è davvero maligna e pericolosa.

Nel corso delle ultime settimane i professionisti, le pubbliche amministrazioni e chiunque sia munito di una casella di posta elettronica certificata (PEC) stanno subendo una serie di attacchi attraverso semplici allegati a messaggi e-mail. Sebbene i tentativi di attacco via e-mail esistano da anni e siano sempre riconoscibili per la presenza di dettagli che esulano dalla “normalità” del destinatario (es.: messaggi da banche di cui non si è clienti che annunciano il blocco del conto corrente), questa nuova ondata di attacchi è davvero maligna e pericolosa.

Chi mai potrebbe diffidare di un messaggio PEC, inviato regolarmente da un indirizzo PEC e scritto in italiano perfetto, in più con contenuti che spesso attengono alla professione del destinatario? In Italia abbiamo inventato il sistema della PEC apposta, per avere un mezzo di comunicazione ufficialecertificatopienamente valido per fini legali e giudiziari esattamente come la raccomandata cartacea; purtroppo, però, qualcuno ha pensato bene di fare un discreto lavoro di social engineering e ha messo in piedi una campagna di invio e-mail che riguardano presunte fatture da pagare o pagate, inviti a convegni, comunicazioni da colleghi, e quant’altro possa attirare l’attenzione del professionista distratto dalla propria mole di lavoro.

Sono già tante le vittime che hanno aperto gli allegati e si sono ritrovati un ransomware che chiede un riscatto per decifrare i file del computer della vittima, ormai inutilizzabili; pertanto, la domanda che sta girando sempre più frequentemente fra chi non è stato colpito è:

Come posso difendermi?

La prima risposta che mi viene in mente è “usando il buon senso” ma si tratta di una risposta classica, ormai superata dalla realtà dei fatti poiché anche con una discreta diligenza si può restare vittime di un noioso ransomware (no, non lo definirò mai “pericoloso”: crea solo scocciature risolvibili e prevenibili). Dunque la miglior risposta oggi è “usa il buon senso e apri gli occhi” poiché queste mail certificate fanno di tutto per apparire come comunicazioni reali con allegati attendibili.

1. Diffidate dei messaggi non attesi.

Se non attendete comunicazioni dalla vostra banca, dal commercialista, da un collega o da un organizzatore di eventi formativi, quando ricevete un messaggio del genere passate alla “modalità allerta“…

… ossia “procedete con cautela”.

La forma classica di queste mail certificate è: mittente con indirizzo PEC (quindi anche verificabile nei pubblici elenchi come Reg.Ind.E.), una comunicazione in italiano corretto (quindi non l’italiano maccheronico di Google Translate) e un allegato, mentre la variante più recente non ha allegati ma il corpo del messaggio contiene un collegamento a una pagina maligna e l’oggetto del messaggio  è  identito al testo udato come link. Soffermiamoci sulla variante con allegato (perché il collegamento della variante più recente va soltanto ignorato, ovviamente ): questo di solito è un archivio compresso in formato .ZIP all’interno del quale è presente un numero variabile di documenti di Word (.DOC.DOCX). Aprire l’archivio .ZIP è discretamente sicuro (soprattutto usando ZipGenius) così è possibile verificarne i contenuti, mentre i documenti di Word al suo interno NON VANNO ESTRATTI E NON VANNO APERTI! Il ransomware è proprio in quei file e si attiva sfruttando le arcinote (e famigerate) “macro” di Word. Pertanto per verificare la genuinità dell’allegato è bene salvare l’archivio .ZIP sul desktop e sottoporlo a scansione con l’antivirus…

Perché l’antivirus sul computer di lavoro l’avete, vero? E lo aggiornate quotidianamente, vero?

Se alle due domande precedenti non avete dato risposta o avete risposto negativamente, allora fareste bene a proseguire la lettura di questo post fino all’ultima pagina.

Ora supponiamo che l’antivirus abbia dato esito negativo, cioè che abbia dichiarato che l’archivio non è infetto. Volendo fare una prova del nove, possiamo rivolgerci al sito www.virustotal.com e caricare là l’archivio ricevuto a mezzo PEC, ove esso verrà sottoposto alla scansione di circa 30 antivirus diversi e si valuterà il giudizio della community in relazione alla diffusione del file esaminato. Se non esistono informazioni provenienti dalla community di VirusTotal e gli antivirus hanno confermato la genuinità del file, allora l’archivio .ZIP potrà essere serenamente decompresso e i documenti di Word potranno essere consultati.

About Author