La Posta Elettronica Certificata è un sistema di posta elettronica che fornisce al mittente la certezza della consegna del messaggio e ha lo stesso valore legale di una raccomandata tradizionale con avviso di ricevimento.
L’infrastruttura tecnica di gestione la rende più sicura di quella tradizionale ed è per questo che i criminali informatici hanno sviluppato degli attacchi molto mirati che la coinvolgono. Essenzialmente, tutti hanno a che fare col social engineering, ossia qualche tecnica psicologica che prevede l’inganno dell’utente.
Può consistere nell’invio di una PEC fasulla, che simula delle credenziali autorevoli (per esempio una fantomatica Agenzia delle Entrate), oppure un’altra email con un link che, se cliccato, avvia il download di qualche malware, ad esempio un ransomware.
Quando un attacco di questo tipo va a buon fine, i risultati partono dall’invio di informazioni personali ai criminali per arrivare a furto di denaro e anche alla compromissione della casella stessa. A quel punto, la casella stessa può diventare protagonista a sua volta dell’invio di malware.
Password a rischio
Qui le cose iniziano a farsi davvero complicate. A molti utenti l’eventualità di un’intrusione sembra remota, perché una casella PEC dà sempre l’impressione di essere più sicura. Lo è, certo, ma dal punto di vista tecnico, ed è proprio per questo che gli attacchi coinvolgono gli aspetti emotivi e psicologici dell’utente, di fronte ai quali il gestore PEC può fare ben poco.
Dal momento in cui una casella PEC richiede un nome utente e una password, è comunque soggetta a una serie di attacchi. Il principale si chiama “data breach” e consiste nella sottrazione delle credenziali di autenticazione alla casella. Come può verificarsi una situazione del genere?
Tecnologie di protezione
Innanzitutto, è possibile che un attacco informatico punti a ottenere direttamente i dati degli utenti archiviati dal gestore. Per essere considerati gestori PEC dall’Agenzia per l’Italia Digitale (AgID), tuttavia, occorre rispettare degli standard di sicurezza elevati, anche se è chiaro che le soluzioni tecnologiche sono lasciate al gestore stesso.
Aruba, per esempio, vanta un vero e proprio arsenale pronto a garantire la massima
protezione delle caselle PEC. Grazie, per esempio, a un sistema di antivirus ed efficaci filtri antispam,
o a una tecnologia che verifica automaticamente l’estensione dei file, bloccando quelli non contemplati dalle direttive AgID. Ma è soprattutto il sistema di gestione delle password, nel caso di Aruba, a garantire la protezione dai data breach. Le password, infatti, devono essere scelte secondo determinati criteri che le possano far considerare “forti”, cioè molto difficili da crackare con un attacco brute force (generare combinazioni di caratteri, simboli e numeri fino a trovare la password corretta).
Una volta che l’utente ne imposta una che soddisfa i requisiti, questa viene memorizzata nei database di Aruba tramite hashing, cioè in forma codificata. In questo modo, nella remota eventualità che un attaccante riesca a impossessarsi del database, si ritroverà con un pugno di mosche in mano: password codificate e quindi, di fatto, inutilizzabili.
Una password, un solo sito
È proprio per questo che, nel caso in cui un data breach non vada a buon fine, il criminale informatico potrebbe ricorrere ad altri espedienti: come ad esempio puntare sull’ingenuità degli utenti. Spesso si tende a utilizzare la medesima password per svariati servizi e tra questi ve ne può essere qualcuno di particolarmente debole.
Il risultato è scontato: il data breach a uno di questi porta ad ottenere credenziali di accesso valide anche in servizi molto più sicuri. Inutile sottolineare l’importanza, proprio per questo, di utilizzare apposite password per tutti quei servizi web che richiedono la massima sicurezza.
Verificare se si è vittime di un data breach
In questo contesto torna molto utile verificare se le proprie credenziali siano state o meno colpite da un data breach. Ovvero, se queste siano state sottratte nel corso di un’intrusione informatica e messe a disposizione del black market delle credenziali o, addirittura, del pubblico.
Una verifica di questo tipo consente di provvedere tempestivamente al cambio di password o, in casi estremi, alla cancellazione di un account ormai troppo compromesso.
Per verificare, dunque, se una casella PEC è vittima di data breach si può sfruttare un sito come
Haveibeenpwned.com .
Lanciato sul web dall’esperto di sicurezza Troy Hunt, il sito raccoglie tutte le credenziali dei data breach resi pubblici e consente di cercare al loro interno specifici indirizzi e-mail.
Tra questi, ovviamente, anche quelli PEC. Utilizzare il servizio è molto semplice: una volta che ci si trova nella homepage si inserisce l’indirizzo da cercare nella finestrella
e-mail address, poi si clicca su
pwned e si attende l’esito.
Se non vi è alcun riscontro, ed è un’ottima notizia, si riceve il messaggio
Good news – no pwnage found! In caso contrario, il messaggio di ritorno è
Oh no – pwned! seguito dal numero di data breach nel quale si possono trovare le credenziali. Più in basso, a questo punto, si possono trovare informazioni più dettagliate su questi data breach, cioè i siti e il periodo in cui sono stati colpiti.
Rimedi e soluzioni
Che fare, in una situazione di questo tipo? Cambiare immediatamente la password, scegliendone una molto più sicura e dedicandola unicamente alla propria casella PEC. Vista la sua importanza, si merita questa attenzione.
Una volta cambiata la password, conviene passare qualche ora a controllare e-mail ricevute e inviate, per accertarsi che la casella non sia stata utilizzata, nel frattempo, per veicolare qualche tipo di minaccia o truffa.
Ovviamente, anche nel caso la casella fosse immacolata, uno sguardo periodico su Haveibeenpwned è il modo migliore per scongiurare problemi molto gravi.