Nel corso delle ultime settimane i professionisti, le pubbliche amministrazioni e chiunque sia munito di una casella di posta elettronica certificata (PEC) stanno subendo una serie di attacchi attraverso semplici allegati a messaggi e-mail. Sebbene i tentativi di attacco via e-mail esistano da anni e siano sempre riconoscibili per la presenza di dettagli che esulano dalla “normalità” del destinatario (es.: messaggi da banche di cui non si è clienti che annunciano il blocco del conto corrente), questa nuova ondata di attacchi è davvero maligna e pericolosa. Chi mai potrebbe diffidare di un messaggio PEC, inviato regolarmente da un indirizzo PEC e scritto in italiano perfetto, in più con contenuti che spesso attengono alla professione del destinatario? In Italia abbiamo inventato il sistema della PEC apposta, per avere un mezzo di comunicazione ufficiale, certificato, pienamente valido per fini legali e giudiziari esattamente come la raccomandata cartacea; purtroppo, però, qualcuno ha pensato bene di fare un discreto lavoro di social engineering e ha messo in piedi una campagna di invio e-mail che riguardano presunte fatture da pagare o pagate, inviti a convegni, comunicazioni da colleghi, e quant’altro possa attirare l’attenzione del professionista distratto dalla propria mole di lavoro. Sono già tante le vittime che hanno aperto gli allegati e si sono ritrovati un ransomware che chiede un riscatto per decifrare i file del computer della vittima, ormai inutilizzabili; pertanto, la domanda che sta girando sempre più frequentemente fra chi non è stato colpito è:

Come posso difendermi?

La prima risposta che mi viene in mente è “usando il buon senso” ma si tratta di una risposta classica, ormai superata dalla realtà dei fatti poiché anche con una discreta diligenza si può restare vittime di un noioso ransomware (no, non lo definirò mai “pericoloso”: crea solo scocciature risolvibili e prevenibili). Dunque la miglior risposta oggi è “usa il buon senso e apri gli occhi” poiché queste mail certificate fanno di tutto per apparire come comunicazioni reali con allegati attendibili.

1. Diffidate dei messaggi non attesi.

Se non attendete comunicazioni dalla vostra banca, dal commercialista, da un collega o da un organizzatore di eventi formativi, quando ricevete un messaggio del genere passate alla “modalità allerta“… … ossia “procedete con cautela”. La forma classica di queste mail certificate è: mittente con indirizzo PEC (quindi anche verificabile nei pubblici elenchi come Reg.Ind.E.), una comunicazione in italiano corretto (quindi non l’italiano maccheronico di Google Translate) e un allegato, mentre la variante più recente non ha allegati ma il corpo del messaggio contiene un collegamento a una pagina maligna e l’oggetto del messaggio  è  identito al testo udato come link. Soffermiamoci sulla variante con allegato (perché il collegamento della variante più recente va soltanto ignorato, ovviamente ): questo di solito è un archivio compresso in formato .ZIP all’interno del quale è presente un numero variabile di documenti di Word (.DOC o .DOCX). Aprire l’archivio .ZIP è discretamente sicuro (soprattutto usando ZipGenius) così è possibile verificarne i contenuti, mentre i documenti di Word al suo interno NON VANNO ESTRATTI E NON VANNO APERTI! Il ransomware è proprio in quei file e si attiva sfruttando le arcinote (e famigerate) “macro” di Word. Pertanto per verificare la genuinità dell’allegato è bene salvare l’archivio .ZIP sul desktop e sottoporlo a scansione con l’antivirus… Perché l’antivirus sul computer di lavoro l’avete, vero? E lo aggiornate quotidianamente, vero? Se alle due domande precedenti non avete dato risposta o avete risposto negativamente, allora fareste bene a proseguire la lettura di questo post fino all’ultima pagina. Ora supponiamo che l’antivirus abbia dato esito negativo, cioè che abbia dichiarato che l’archivio non è infetto. Volendo fare una prova del nove, possiamo rivolgerci al sito www.virustotal.com e caricare là l’archivio ricevuto a mezzo PEC, ove esso verrà sottoposto alla scansione di circa 30 antivirus diversi e si valuterà il giudizio della community in relazione alla diffusione del file esaminato. Se non esistono informazioni provenienti dalla community di VirusTotal e gli antivirus hanno confermato la genuinità del file, allora l’archivio .ZIP potrà essere serenamente decompresso e i documenti di Word potranno essere consultati.

2. Gli antivirus non sono infallibili!

Nonostante la spiegazione precedente, però, bisogna sempre ricordare che gli antivirus possono anche sbagliare (oggi è un’ipotesi remota ma non impossibile): potrebbero identificare come virus un file che non lo è (il cd. “falso positivo“) oppure potrebbero non riconoscere un virus troppo recente (ed ecco perché l’antivirus va aggiornato quotidianamente); se nella seconda circostanza la conseguenza più grave potrebbe essere quella di perdere una comunicazione legittima e importante, nella prima, invece, si rischia di vedersi infettare il proprio computer e con esso i file che si usano per il lavoro quotidiano – oltre a rendere il computer inutilizzabile nelle forme e nei modi più disparati. L’ultima verifica possibile è quella di contattare il mittente (meglio chiamarlo al telefono, se possibile) e chiedere se davvero vi ha spedito quella comunicazione via PEC.

3. Sono stato “infettato”: e ora?

Lo scopo di chi crea un virus o un ransomware e ne cura la diffusione iniziale è proprio quello di farvi sorgere questo dubbio: cosa faccio adesso? Il ransomware cifra una mole impressionante di files che vi servono per lavorare, poi a ogni avvio del computer vi avvisa che per riavere i vostri documenti dovrete pagare un riscatto. Sembra quasi che vogliano persino essere ringraziarti perché vi forniscono a pagamento la chiave per decifrare i files, considerato che i virus del passato erano sensibilmente più feroci: distruggevano e basta, senza possibilità di recuperare ciò che è andato perduto. A meno che non esistesse una copia di backup di quanto perduto. Non avete un backup? Allora è bene passare alla “modalità panico e sgomento”.

4. Ecco: il backup.

Dopo cinque anni e mezzo di Processo Civile Telematico, il termine backup e il suo significato dovrebbero essere conosciuti e d’uso quotidiano in uno studio legale o in un qualsiasi altro ambiente professionale. Il backup dovrebbe essere pane quotidiano per il professionista che impiega strumenti informatici e già immagino che qualche lettore obietterà “eh, ma io uso il Mac” o “chi se ne frega, usiamo Linux“: per quanto mi riguarda potreste persino usare il vetusto OS/2 di IBM ma è giusto che v’informi che tutti i sistemi operativi hanno le loro magagne e le loro insidie e se non è un ransomware, allora potrebbe anche essere un’applicazione maligna in grado di acquisire i privilegi di amministratore e fare danni inimmaginabili. In più, la quasi totalità dei processori (CPU) è affetto da una serie di bug hardware (solo parzialmente risolvibili con aggiornamenti dei sistemi operativi) che mettono a rischio la sicurezza dei dati elaborati. Morale della favola: a prescindere da sistema operativo e tipo di dispositivo, il backup è un gradino più in basso dei comandamenti divini ed è quello che vi salva la pelle nei casi più disperati. Naturalmente non è il sottoscritto a dover ricordarvi che le copie di backup vanno conservate altrove e non sullo stesso computer cui il backup si riferisce.

4.1 E fare le copie-immagini dell’hard disk?

Un tempo si usava fare la copia-immagine dell’hard disk su un set di CD o DVD per far sì che bastasse ricopiare quell’immagine sull’hard disk compromesso per avere il computer ripristinato ad uno stato di funzionamento perfetto. Purtroppo era una tecnica validissima quando gli hard disk erano ancora relativamente piccoli mentre oggi, con hard disk che arrivano facilmente alla capacità di 4 Terabytes (= 4000 Gigabytes circa; per raffronto, un DVD doppio lato contiene fino a 8.5 Gigabytes, un Blu-ray Disc doppio lato arriva fino a 50 Gigabytes), la copia per immagine è possibile a patto che si usino coppie di hard disk identici, in cui uno viene usato solo e esclusivamente come copia del primo. Qui, però, ci stiamo addentrando in un discorso troppo tecnico e nemmeno è questa la sede adatta per discuterne. Qualora vogliate discuterne, usate il modulo Contatti o cercatemi su Telegram.

5. Perché attendere il disastro? Meglio prevenire!

Rilassiamoci, prepariamoci una tisana e riflettiamo sul perché dell’isteria collettiva derivante dalla ricezione di PEC sospette. Abbiamo paura perché siamo tecnicamente impreparati e, soprattutto, perché mai avremmo pensato di poter ricevere malware attraverso la Posta Elettronica Certificata. Ce l’hanno venduta come mezzo di comunicazione moderno, sostitutivo della lettera raccomandata, con il medesimo valore probatorio ma più veloce… però non ci hanno detto che in fondo sempre di posta elettronica si trattava. Sotto il profilo squisitamente tecnico, rispetto alla e-mail ordinaria la PEC è:

• instradata attraverso server certificati posseduti dagli Enti certificatori accreditati presso l’Agenzia per l’Italia Digitale (AgID);
• ridondante;
• superflua;
• forse destinata all’obsolescenza perché a livello sovranazionale si inizia a richiedere l’interoperabilità fra sistemi di comunicazione elettronici certificati e/o qualificati (e la PEC non lo è).

Si potevano sfruttare strumenti già esistenti per la certificazione in proprio dei messaggi e-mail come l’utilizzo dello standard S/MIME ma è cosa risaputa che business is business. Dovevamo insospettirci quando anche la PEC ha iniziato a intasarsi di spam e impostare la casella affinché riceva solo da indirizzi PEC si è rivelato inutile, giacché buona parte dello spam oggi transita da PEC a PEC; l’arrivo di un virus allegato a un messaggio PEC era solo questione di tempo: ora quel momento è giunto, la fiducia incrollabile nella sicurezza della PEC è venuta meno e ci siamo accorti che:

1. apriamo gli allegati delle e-mail ancora troppo sbadatamente nel 2019/quasi 2020;
2. siamo ostinati a non investire in sicurezza informatica.

Purtroppo quando si parla di “sicurezza informatica” a una platea di persone poco avvezze alla più semplice materia dell’informatica, spesso chi ascolta inizia a pensare a cose tipo Matrix o Mr. Robot ed è indotto a ritenere che la cosa non lo riguardi. Nulla di più sbagliato! Con un piede nel 2020, un professionista avrebbe già dovuto effettuare degli investimenti per incrementare la sicurezza informatica del proprio ambiente di lavoro e l’avrebbe dovuto fare rivolgersi a un consulente esperto del settore, il quale avrebbe poi suggerito come strutturare l’infrastruttura tecnologica dello studio, mettendola contemporaneamente al riparo da spiacevoli episodi come quelli odierni. Gli americani hanno creato la sigla P. E. B. C. A. K. ossia “Problem Exists Between Chair And Keyboard” (“il problema esiste fra la sedia e la tastiera“), volendo con ciò indicare che il problema di cui ci si sta lamentando discende proprio dall’utilizzatore del computer. Risulta necessario sottolineare come l’80% dei problemi informatici è qualificabile come PEBCAK: non è Windows in sé a essere un colabrodo; Windows 10 addirittura è considerato molto sicuro se configurato correttamente (da una mano esperta e non dal cugggino) e Microsoft lo aggiorna costantemente. Purtroppo, però, agiamo con troppa disinvoltura quando siamo davanti al monitor e non pensiamo a quali potrebbero essere le conseguenze; dopo, quando il disastro è compiuto, non sappiamo che pesci prendere e a chi rivolgerci per salvare la situazione. Non dimentichiamo, inoltre, che i professionisti spesso sono titolari di trattamento dati ai sensi del Regolamento Europeo n. 679/2016, il caro GDPR, e permettere che un virus s’introduca nel nostro computer per danneggiare / distruggere / alterare i dati personali che trattiamo, ci espone a pesanti sanzioni come se abbandonassimo la borsa del lavoro con dentro i fascicoli dei clienti e qualcuno riuscisse a impossessarsene irrimediabilmente.

6. Ok, quindi?

Se siamo riusciti a scampare alle due ondate di PEC maligne di queste settimane, sarebbe opportuno approfittare del prossimo week-end per rivedere un po’ il livello di protezione del nostro computer:

• Se usiamo un account “Amministratore” in Windows, creiamo un secondo account standard per poter lavorare: non cambierà nulla e potremo continuare a lavorare con le medesime applicazioni, mentre il sistema richiederà la password dell’amministratore per operazioni straordinarie come l’installazione di un software o la modifica delle impostazioni. Nota: Linux fa così sin dal primo minuto dopo l’installazione mentre Windows crea un utente “Amministratore” nascosto (invisibile se non si eseguono alcune operazioni) e un secondo utente con il vostro nome dotato dei privilegi da amministratore. Seguite l’esempio di Linux e create un secondo account normale da usare per il lavoro quotidiano: in caso di ransomware, questo colpirebbe solo lo spazio dell’utente ordinario e non il resto del sistema; nella peggiore delle ipotesi (e a condizione di aver fatto il backup dei propri documenti), l’Amministratore può cancellare l’account compromesso e crearne uno nuovo (ringrazio il Collega Fabrizio Sigillò per l’idea).
• Backup, backup, backup e ho già spiegato perché. Per come farlo, invece, fatevi aiutare da un bravo consulente informatico. Considerate l’acquisto di un NAS al quale accedere solo previo inserimento delle credenziali d’accesso e non in qualsiasi momento.
• Dotatevi di un buon antivirus – sì, anche questo è un investimento in sicurezza informatica. Windows 10 incorpora un buon sistema di sicurezza che comprende firewall e antivirus, però soluzioni commerciali offrono maggiore versatilità e scalabilità. Se volete leggere qualche confronto tra antivirus, leggete questa pagina ove sono condotti test sugli antivirus con frequenza mensile.

Se siete stati colpiti, invece, il miglior consiglio che possa darvi è quella di rivolgersi a un bravo consulente informatico per verificare se sia possibile ripristinare il sistema ad un punto precedente l’attivazione del malware. Mi raccomando: occhi aperti e fate attenzione.