Anche uno strumento innovativo e tecnologico come la PEC potrebbe, purtroppo, essere utilizzato a scopo di truffa. Proprio perché la PEC rappresenta un sistema di posta elettronica ampiamente utilizzato - in virtù delle garanzie che offre per inviare e ricevere documenti con valore legale, assicurando sicurezza delle trasmissioni e inalterabilità dei messaggi scambiati - alcuni cercano di approfittare della fiducia degli utenti, per cercare di farne un utilizzo fraudolento. Tale rischio può essere ridotto, grazie a un uso sapiente della PEC e dei comportamenti diligenti che possono essere adottati dagli utenti. Ci si può, infatti, difendere dalle false PEC, perché ci sono dei segni che è possibile cogliere per distinguere una PEC autentica da una PEC fraudolenta.
False PEC: cosa sono, come agiscono e come si riconoscono
In un mondo di persone che lavorano, fanno affari o, semplicemente, intrecciano relazioni e si scambiano comunicazioni utilizzando i mezzi telematici e digitali messi a disposizione dalle nuove tecnologie, non mancano - ahinoi - coloro che cercano di guadagnare in modo truffaldino, anche utilizzando quegli stessi strumenti innovativi e tecnologici che risultano senza alcun dubbio utilissimi sotto molteplici punti di vista. In tale quadro, qualcuno ha pensato di utilizzare anche la PEC (posta elettronica certificata) o, meglio, la cd. “
falsa PEC”: falsa perché è fittizio il mittente (spesso, apparentemente, si tratta di un ente di cui ci dovremmo fidare), falso il contenuto o addirittura a tutti gli effetti falsa la stessa PEC, perché in questo caso non di vera PEC si tratta, ma di
email camuffata da PEC. Prima di proseguire, con riferimento a quest’ultima ipotesi, dobbiamo comunque sottolineare che fornitori di servizi PEC quali Aruba, di
default, non abilitano la ricezione della posta elettronica ordinaria, ma tale abilitazione è un’opzione che viene rimessa all’utente.
La
PEC continua a essere un mezzo sicuro per trasmettere informazioni con valore legale, a fronte del fatto che solo una percentuale bassa delle “campagne malevole” è veicolata tramite PEC, così come risulta dai
report pubblicati da CERT-AGID (
Computer Emergency Response Team AGID), struttura che opera all'interno dell'Agenzia per l’Italia Digitale (AGID) e alla quale è sempre possibile
inoltrare le comunicazioni sospette alla casella di posta
[email protected]. Dunque, è proprio perché la PEC rappresenta un sistema di posta elettronica ampiamente utilizzato - in virtù delle garanzie che offre per inviare e ricevere documenti con valore legale, assicurando sicurezza delle trasmissioni e inalterabilità dei messaggi scambiati con la Pubblica Amministrazione, tra aziende e professionisti e tra “normali” cittadini - che alcuni cercano di approfittare della fiducia nutrita dagli utenti in tale utilissimo strumento, per cercare di scavare qualche crepa in cui infilarsi.
Un rischio che è, però, possibile ridurre grazie a un uso sapiente della PEC e dei comportamenti diligenti che possono essere posti in campo dagli utenti.
Sono, infatti, spesso fattori come la fretta, l’ansia di rispondere o le azioni “automatiche” che compiamo a volte quando siamo stanchi e sovrappensiero, affogati in un mare di posta da consultare, a offrire il fianco ai truffatori e a fare sì che abbocchiamo all’amo (e la metafora è ancora più calzante, quando la comunicazione ricevuta tramite PEC è assimilabile al cd. “
phishing”), a creare il rischio di fornire
informazioni sensibili, di ritrovarsi a visitare un
sito web pericoloso oppure di scaricare un
file infetto da un servizio di archiviazione in
cloud, casomai dopo avere semplicemente cliccato un
link malevolo contenuto nella PEC fraudolenta.
Nel mirino degli attacchi, ritroviamo un vasto elenco di dati, si va dalle
informazioni sensibili di genere diverso (documenti, ma anche
screenshot e registri delle attività) ai “classici”
dati bancari (è il caso del “
banking trojan”, che punta alla sottrazione dei dati delle carte di credito o del
wallet di criptovalute), dalle
credenziali di accesso a servizi vari (
username e
password per
social network,
email e
account aziendali) ai
token di autenticazione necessari per superare i sistemi di sicurezza a due fattori.
In un mondo in cui il
cybercrime (il crimine informatico) è sempre più pericoloso, questi attacchi sono organizzati da gruppi criminali i quali, in alcuni casi, hanno bisogno di acquisire dati non solo al fine di perpetrare
frodi finanziarie o per
furti d’identità, ma anche per preparare attacchi ancora più vasti e devastanti, ai danni di persone e aziende, utilizzando a tale fine i cd. “
infostealer”,
malware altamente specializzati nella sottrazione dei dati. Si tratta di programmi che si insediano nei sistemi dei nostri dispositivi e che, in modalità invisibile, registrano le interazioni dell’utente, carpendo ogni singolo
clic e registrando l’invio dei dati ad altri soggetti.
Tra le minacce più diffuse, vi sono anche quelle dei cosiddetti
ransomware, particolari tipi di
malware che mirano a
limitare l’accesso del dispositivo infettato, con la richiesta alla vittima di pagare un
riscatto per la rimozione della limitazione.
Spesso i destinatari vengono ingannati perché le
PEC fraudolente ricevute sembrano provenire da soggetti “fidati”, come la stessa Polizia di Stato, l’INPS, l’Agenzia delle Entrate oppure noti istituti di credito.
È possibile difendersi da questi attacchi malevoli - le false PEC vengono inviate a migliaia di utenti, in modo (come si dice in gergo) “massivo” - perché ci sono dei
segni che è possibile cogliere per
distinguere una PEC autentica da una PEC fraudolenta.
Vediamo, dunque, quali sono questi
segnali e come possiamo
difenderci da questi “attacchi”, anche facendo tesoro dei consigli che le istituzioni e, in particolare, la Polizia di Stato (che tra le altre è da anni attiva su questo fronte con la Polizia postale e delle comunicazioni, adesso coordinata dal Servizio polizia postale e per la sicurezza cibernetica) continuamente diffondono, anche a fronte del mutare delle tecniche e degli strumenti utilizzati.
La fattura da saldare
Qualche anno fa, sono state inviate migliaia di PEC, riconducibili ad
aziende non esistenti, con oggetto «
Emissione fattura SS059656», al fine di indurre i destinatari ad
aprire il file “.pdf” allegato alla PEC, per generare degli eventi che avrebbero portato all’installazione di
malware o
trojan, all’avvio di un
ramsonware “
crypolocker”, con la crittazione, e il conseguente inutilizzo, dei
file presenti sul dispositivo dei destinatari.
Questo era il testo contenuto nelle “false PEC”, connotate anche da una
grossolanità nell’ortografia: «
Buongiorno Allegata alla presente email Vi trasmettiamo copia PDF di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate».
La “trappola del rimborso”
La cd. “trappola del rimborso” - che, seppure di qualche anno fa, tende ciclicamente a “ritornare” con qualche lieve variante - mirava a fare credere che il mittente delle
false comunicazioni email/PEC fosse l’Agenzia delle Entrate.
Il pretesto era quello di un rimborso a favore del destinatario/vittima della PEC, al quale veniva chiesto di
compilare e inviare un modulo per la richiesta di accredito, nell’intento malevolo di estorcere dati personali sensibili degli ignari destinatari.
Una volta aperto il messaggio, si leggeva testualmente «
Rimborso di 478 euro a vostro favore» e poi (anche con evidenti errori grammaticali) «
Buongiorno, si prega di inviare la richiesta di rimborso per consentirci di trattatelo il prima possibile. Modulo di rimborso allegato da compilare e girare via mail».
Nelle mire dei truffatori i
dati sensibili, quali l’IBAN, il numero di carta di credito, con relativa scadenza e numero Cvv, da inserire nel
file “.pdf”.
Questo tipo di
email/PEC truffa
si riconosceva, alla fine dei conti, in maniera abbastanza semplice, dato che l’indirizzo, nei fatti, non era quello dell’Agenzia delle Entrate, l’oggetto era “
Modulo Rimborso”, nel testo vi era il riferimento a un importo casuale a credito (senza l’indicazione della causale), un allegato intitolato “
Modulo richiesta accredito” in formato “.pdf”,
errori spesso evidenti nel testo (errori grammaticali o di punteggiatura, addirittura parti di testo mancante). Inoltre, la richiesta veniva presentata come
urgente.
| Qualora sorgano dubbi, si consiglia di contattare il call center dedicato dell’Agenzia delle Entrate al numero 800.909696, per chiedere conferma dell’effettivo invio da parte dell’Agenzia della PEC ricevuta e, se del caso, cestinare la PEC. |
Peraltro, nella maggior parte dei casi, l’Agenzia delle Entrate invia a cittadini e imprese comunicazioni e avvisi utilizzando indirizzi “
PEC no-reply”, cioè indirizzi ai quali non è possibile rispondere o inviare comunque PEC (elenco degli
indirizzi “PEC no-reply” dell’Agenzia delle Entrate).
Il phishing per le frodi bancarie
Tra i fenomeni in crescita, vi è quello delle campagne di
phishing volte a
frodare i clienti degli istituti bancari. In questi casi, sono state utilizzate
email, ben formattate e all’apparenza provenienti, ad esempio, da una banca ma in realtà provenienti da caselle PEC “compromesse”, allo scopo (come al solito) di
carpire credenziali bancarie e dati di carte elettroniche delle eventuali vittime. Nel messaggio gli utenti vengono avvisati di una presunta necessità di aggiornare il dispositivo utilizzato per accedere ai servizi bancari, per evitare che diventi impossibile eseguire operazioni bancarie, con l’invito a cliccare un link al fine di mettere in atto le azioni necessarie. Purtroppo, tali link indirizzano i malcapitati utenti verso una pagina fraudolenta, disegnata per imitare la pagina di accesso ai servizi di home banking, nell’intento di portare gli utenti, schermata dopo schermata, a fornire anche i dati della propria carta di pagamento elettronica.
In merito, il CERT-AGID oltre alle attività di contrasto poste in atto in collaborazione con i Gestori PEC, raccomanda di “
rimanere vigili e aggiornati sulle minacce di phishing”, fattore fondamentale per proteggere i propri dati, prestando particolare attenzione a comunicazioni sospette, soprattutto a quelle di natura bancaria, e adottare alla fine dei conti semplici misure di sicurezza.
Addebiti dovuti all’INPS
Non sono mancati i casi in cui migliaia di aziende si sono viste recapitare nelle caselle PEC false contestazioni di addebiti relativi a
mancati versamenti contributivi. Le
email in questione, che
sembravano arrivare dall’INPS, avevano lo scopo di fare accedere a un collegamento denominato: “
Dettaglio degli addebiti e degli importi dovuti”, cliccando il quale si avviava il
download di un
virus informatico.
Il malware Vidar
Da qualche tempo, si registrano campagne di “
malspam” condotte dai
cyber-criminali per diffondere il
malware Vidar, come segnalato in questo comunicato, diffuso dal CERT-AGID: “
L’email, che appare provenire da un’azienda italiana, avverte il destinatario di un presunto mancato pagamento di una fattura. Tuttavia, come già osservato in campagne precedenti, dietro a un linguaggio formale e a una richiesta di pagamento si cela un grave pericolo: un link sulla parola Fattura che, se cliccato, avvia il download di un file VBS malevolo, dando così inizio a una catena di compromissione”.
I
cyber-criminali continuano a sfruttare caselle PEC compromesse per diffondere il
malware tra gli utenti italiani, ogni volta raffinando le proprie strategie per eludere i sistemi di sicurezza e introducendo sempre nuove tecniche per occultare la
URL da cui scaricare il
payload.
Negli ultimi attacchi, durante la fase iniziale, le
URL sono rimaste inattive, per poi attivarsi solo successivamente, aumentando la difficoltà di una prevenzione tempestiva: “
Questa tecnica, ormai consolidata, consente ai cyber-criminali di ridurre la possibilità di un blocco immediato del malware, aumentando le probabilità di successo dell’infezione”.
Le ondate di Vidar sono registrate con una certa regolarità dal CERT-AGID (“
Vidar, noto per le sue capacità di sottrazione di credenziali e furto di dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite PEC compromesse può indurre i destinatari a fidarsi dei messaggi ricevuti”) e vede impegnato costantemente il
team nell’identificazione e nel
blocco di centinaia di domini di secondo livello, utilizzati per distribuire il
malware, con tecniche di offuscamento avanzate sempre diverse e
Domain Generation Algorithm (DGA) impiegati per la generazione dinamica degli indirizzi malevoli.
False email e PEC della Polizia di Stato
È anche capitato che a qualcuno siano state recapitate
email o PEC con oggetto “
avvio di procedimento” e che, all’apparenza, sembravano essere state inviate addirittura da un indirizzo PEC della Polizia di Stato. Anche in questo caso, il fine dei
cyber-criminali era quello di indurre ad
“aprire” il file “.pdf” allegato alla PEC oppure a
“cliccare” sul link presente per generare (come avvertiva l’
alert diramato dalla Polizia postale) degli “
eventi che potrebbero comportare l’installazione di malware o trojan e/o l’avvio di un ramsonware “crypolocker”, con la crittazione, ed il conseguente inutilizzo, dei file presenti sul dispositivo”.
I comportamenti da adottare
Norme base da seguire in generale
- Cambiare periodicamente la password, utilizzando password complesse (almeno otto caratteri; usare lettere sia maiuscole, che minuscole, e caratteri speciali; usare sia lettere, sia numeri; non usare parole comuni; non usare informazioni personali; non riutilizzare le stesse password per più applicativi);
- abilitare, ove possibile, meccanismi di strong authentication (sulle PEC di Aruba, ad esempio, è possibile attivare la verifica in 2 passaggi, che consente di controllare e autorizzare ogni accesso alla PEC);
- fare con regolarità il backup dei file;
- aggiornare periodicamente il sistema operativo.
Cosa fare se si ricevono PEC/email “sospette”
- In caso di indirizzo del mittente sconosciuto o palesemente “falso”, non aprire i file “.pdf” allegati né “cliccare” su eventuali link;
- contattare il mittente, per chiedere la conferma dell’avvenuto invio, se persona o azienda con la quale si hanno scambi epistolari, oppure se si tratta di enti/soggetti dei quali è possibile reperire i contatti ufficiali;
- è importante segnalare le PEC false alle autorità competenti e all’organizzazione dalla quale le stesse PEC sembrano essere state inviate.
È possibile infine visitare la seguente
pagina creata da Aruba.it con una serie di buone norme da tenere per proteggere i propri sistemi e le proprie caselle PEC.
A cura di Wolters Kluwer