Lo scorso 29 Giugno sono stato ospite ad un programma radiofonico su Radio 105 (Tutto Esaurito con Marco Galli e la ciurma) dove mi si chiedeva e di spiegare, in maniera molto elementare, come riconoscere le truffe informatiche che possono arrivare via email o via sms.
L’email è il vettore di attacco principalmente utilizzato dai criminali informatici. L’80% degli attacchi avviene attraverso la posta elettronica: il 40% con link di phishing all’interno dell’email ed il 40% attraverso allegati. Per vostra conoscenza, il 17% attraverso il download web e la restante percentuale attraverso inserimento di chiavette USB o propagazione via rete.
Quando ricevete un’email da bancaintesasanpaolo@acc0unt.com che afferma di aver rilevato attività sospette sull’estratto conto e vi chiede di verificare le vostre informazioni finanziarie semplicemente cliccando sul link ben evidenziato nel corpo del messaggio, questo è sicuramente opera di un criminale informatico.
PHISHING E MALWARE
L’email di phishing (o sms di phishing, ed in questo caso parliamo di SMiShing) sono messaggi fraudolenti, apparentemente autentici, inviate in massa a migliaia di persone affinché qualcuno prima o poi “abbocchi” (da qui la variante del termine inglese “fishing” che allude al fatto di “pescare” dati tra un mare di utenti). Richiedono, così, informazioni personali sensibili.
Stiamo parlando di un vero e proprio crimine informatico che ha come scopo quello di ottenere dati sensibili. I cybercriminali, fingendosi aziende o altri enti affidabili, tentano di ingannare gli utenti per indurli a fornire volontariamente informazioni, come ad esempio le credenziali di accesso ai siti Web o servizi di pagamento, negozi online o e-commerce o, peggio ancora, i dati della carta di credito. Purtroppo, gli utenti si accorgono di questi attacchi soltanto quando arrivano notifiche o sms di avvenuto pagamento o nel peggiore dei casi quando vedono i loro estratti conto a fine mese.
Il malware è un software dannoso sviluppato dai cybercriminali con l’obiettivo di infettare computer o dispositivi mobile e di sottrarre informazioni personali, password o denaro oppure per impedire agli utenti di accedere ai propri dati. Il malware è un termine generico che include Virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware e altri programmi malevoli. Può assumere diverse forme, come Codice eseguibile o Script.
Il più conosciuto e il ransomware. Tale malware prende il controllo del computer di un utente ed esegue la crittografia dei dati, chiedendo una volta finito il “lavoro” un riscatto per ripristinarne l’accessibilità. Un ransomware si diffonde generalmente mediante attacchi di phishing o clickjacking. Una volta entrato nella rete, il ransomware può essere in grado di diffondersi lateralmente su tutti i dispositivi. In questo caso, il ransomware è noto con il nome di worm. Non agisce immediatamente e non lo fa partendo dai file maggiormente utilizzati. Questo per non destare sospetto. Agisce dopo una/due settimane e parte dai file più vecchi presenti sul computer, in modo che l’utente può accorgersene solo a lavoro praticamente finito.
LA CRISI DOVUTA AL CORONAVIRUS
La pandemia di Covid-19 è stata un evento talmente improvviso e di grandi proporzioni che ha cambiato ogni aspetto della nostra vita, dalla personale alla lavorativa. Come da uno dei miei precedenti articoli dove riassumevo l’anno di lockdown della sybersecurity (clicca QUI per leggere l’articolo), il Covid-19 ha portato a digitalizzare tutti noi, ma a renderci anche più vulnerabili ad attacchi informatici.
La pandemia e la paura delle persone fanno gola a molti cybercriminali, i quali si approfittano sia delle vulnerabilità del dispositivo personale dell’utente che le vulnerabilità dell’utente stesso. Il cybercriminale attraverso il loro attacco cerca sempre di catturare l’attenzione, applicando anche un carattere di urgenza. Essi sfruttano temi attuali, tra tutti il coronavirus. Ma anche lo SPID o cashback. Attualmente quelle relative alle campagne vaccinali.
In più, tramite social networks, i cybercriminali studiano chi impersonare e chi attaccare. Per questo avete sentito parlare di email truffa che arrivano dal CEO di un’azienda o da una persona a voi cara, di cui vi fidate ciecamente.
Tra gli spunti offerti dal Covid-19 c’è l’alta emotività agendo sulle paure e preoccupazioni della gente, l’alto livello di attenzione attraverso un susseguirsi di informazioni, raccomandazioni e interpretazioni ed infine l’azione impulsiva soprattutto quando si pensa di avere a che fare con una fonte autorevole.
Di seguito una serie di esempi di email in quest’anno e mezzo di pandemia.
Fattura TIM (fonte tim.it) 
Comunicazione dell’OMS (fonte ReportClusit2020 Libraesva) 
Truffa a tema COVID-19 (fonte ReportClusit2020 Libraesva) 
SPID su poste.it (fonte ReportClusit2020 Libraesva) 
Agenzia delle entrate (fonte agenziaentrate.gov.it) 
Cashback di stato (fonte ReportClusit2020 Libraesva) 
Licenziamento in tronco (fonte ReportClusit2020 Libraesva) 
Finta appa Immuni su fino sito Google Play (fonte ReportClusit2020 Libraesva) 
INPS (fonte corriere.it) 
Prenotazione vaccino (fonte primaregionemolise.it)
COME RICONOSCERE EMAIL TRUFFE
In ambito aziendale ci sono molti strumenti e soluzioni che aiutano gli utenti a proteggersi da queste minacce, ma purtroppo non li abbiamo sulla nostra posta personale. E vi assicuro che anche in ambito aziendale (grosse aziende dotate di servizi di protezione della posta, di servizi di antivirus o EDR) questi strumenti spesso non sono sufficienti se non utilizzati adeguatamente dagli utenti.
Ritornando alla posta personale, venendo a mancare il fattore tecnologico, gioca un ruolo fondamentale il fattore umano.
I consigli:
| Consiglio | Cosa fare |
|---|---|
| Porre attenzione al reale mittente | Quando ricevete un’email da una persona o dalla banca, chiedetevi se siete mai entrati in contatto con quella persona o con quella banca e se gli avete mai fornito il vostro indirizzo email. Visualizzate l’indirizzo email intero e confrontatelo con i messaggi che avete già ricevuto. Se non dovessero coincidere, allora è probabile che si tratti di una truffa. A fronte di qualche comunicazione da parte della banca, contattate il vostro consulente bancario telefonicamente e discutete dall’email ricevuta. Spesso i cybercriminali inviano mail ad orari in cui la banca è chiusa o alla fine della settimana lavorativa portando all’utente ad agire senza prestare quell’attenzione che si potrebbe avere ad inizio settimana. Non abbiate fretta, aspettate di sentire il consulente o, più in generale, il mittente del messaggio prima di qualsiasi azione sull’email. |
| Inizio di una email | Le aziende, così come le persone, solitamente si rivolgono ai loro interlocutori chiamandoli per nome, cosa che i cybercriminali non sempre sanno. Se un messaggio comincia con “Gentili Signori e Signore” oppure “Ciao tuoindirizzoemail@gmail.com” o altre forme standard, dovreste chiedervi perché quel mittente non sappia il vostro nome. |
| Dati errati | All’interno di un’email potete trovare contenuti errati perché i cybercriminali devono coprire quello spazio informativo per assomigliare il più possibile a email legittime. Dunque, la fattura che vi arriva ha il vostro reale indirizzo postale ed il codice fiscale è effettivamente il vostro? Spesso queste informazioni sono errate. Oppure, siete d’accordo con un ente per effettuare un bonifico e che vi avrebbe mandato quindi un’email con le coordinate bancarie? Prima di effettuare il bonifico, contattate il mittente mediante altri canali (chiamata telefonica, whatsapp, sms) ed accertatevi che tali dati siano corretti. Molti cybercriminali possono intercettare l’email, cambiare il contenuto (quindi l’IBAN) senza che il destinatario se ne possa accorgere. Parliamo di Man in the Middle e tale attacco avviene soprattutto per le aziende dove il trasferimento di denaro è all’ordine del giorno. Un modo per evitare ciò lo trovate in uno dei miei precedenti articoli (clicca QUI per leggere l’articolo). |
| Mail sgrammaticata | Di tanto in tanto può capitare di trovare piccole imperfezioni anche nelle comunicazioni inviate dalle aziende più affidabili, ma i messaggi di phishing contengono spesso errori grammaticali, di ortografia e altri errori palesi che le grandi aziende non commetterebbero. Se notate diversi errori grammaticali piuttosto evidenti in un’email o un SMS che vi chiede di inserire le vostre informazioni personali, fate attenzione: potrebbe trattarsi di phishing. |
| Controllo dei loghi | Per aumentare la propria credibilità, i cybercriminali usano imitazioni dei loghi delle aziende o degli enti che decidono di impersonare. In molti casi, tuttavia, queste imitazioni non sono perfette. Il logo in un’email o SMS di phishing potrebbe avere proporzioni errate o una bassa risoluzione. Se il logo non è ben visibile nel messaggio, non è escluso che si tratti, come sempre, di un tentativo di phishing. |
| Controllo dei link | Non sempre un link presente in un’email vuol dire “phishing”. Prima di cliccare su quel link dovreste accertarvi che vi atterri a siti di comprovata serietà. Provate, quindi, a passare il mouse sul link e controllare l’indirizzo URL che viene mostrato tipicamente in basso a sinistra nella finestra del browser. Verificate che coincida con quello dell’azienda o ente in questione e che siano presenti protocolli di sicurezza come HTTPS per la trasmissione di dati. Piuttosto, se avete intuito dall’email l’argomento, accedete al sito internet del mittente e cercate le informazioni da li. Se avete dei dubbi, non cliccate sul link e non inserite manualmente l’indirizzo Internet sul vostro browser. Piuttosto se non vedete bene l’URL, fate clic con il pulsante destro del mouse sul link, quindi copiate e incollate l’URL in un elaboratore di testi. Ciò vi consentirà di esaminare accuratamente il link per individuare eventuali errori grammaticali o di ortografia senza rischiare di aprire una pagina Web potenzialmente dannosa. |
| Attenzione agli allegati | Quando i messaggi dubbi contengono anche allegati, lo scetticismo è più che lecito. Dunque, se il mittente è sconosciuto, è meglio non scaricare l’allegato del file. Può contenere un malware che infetta il computer e/o legge dati sensibili. Non aprire tutti i documenti che arrivano con estensione tipo .EXE, .BAT, .PIF o con doppia estensione tipo .BAT.DOC. |
| Invio di informazioni personali solo tramite canali ufficiali | Nessuna banca o nessun ente vi chiede di inviare i vostri dati online tramite email. Se avete dubbi, contattate il consulente o navigate sul sito internet ufficiale e per comunicare i vostri dati recatevi di persona oppure utilizzate la sezione privata del sito web. |
| Nessun panico | Spesso i cybercriminali puntano su azioni impulsive, mettendo sottopressione l’utente e spingerli ad azioni avventate. Ma nessuna azienda, banca o ente minaccia un blocco della carta di credito o del conto o il ricorso a un’agenzia di recupero crediti. In questo modo si vuole costringere un utente ad inserire una password o a scaricare un allegato. Se non siete sicuri, rivolgetevi sempre al solito consulente o all’assistenza clienti. |
| Nessuno regala niente | L’email che annunciano vincite di denaro, o di qualsiasi tipo di premi, sono quasi sempre fasulle. Uno smartphone in regalo, l’eredità di un lontano parente o la vincita alla lotteria dovrebbero suonare sempre come campanelli d’allarme. |
AZIONI DA COMPIERE
Dopo che avete letto come riconoscere email di phishing e ne avete trovata una nella vostra casella di posta…
- Eliminate l’email senza aprirla (possibilmente)
La maggior parte dei virus si attiva quando si apre un allegato o si clicca su un link, ma alcuni client di posta elettronica consentono lo scripting ed in questo caso il virus può attivarsi anche solo aprendo un’email sospetta. - Bloccate manualmente il mittente
Leggete e annotate il dominio del mittente dell’email e aggiungetelo alla blacklist o mittenti bloccati. Condividete questa lista, se possibile, con altri utenti (come la famiglia). - Scansionate con Antivirus gli allegati
Questa azione potrebbe essere pericolosa a prescindere, ma piuttosto che aprire un allegato dall’email, consiglio di salvare sul computer il file e fare una scansione con un antivirus aggiornato prima di aprirlo.
SIETE VITTIME?
Potreste ritrovarvi ad essere vittime di uno di questi attacchi, voi o un vostro conoscente. Allora occorre…
- Cambiare subito la password o il PIN del conto o del servizio che ritenete possa esser stato compromesso.
- Abilitare per quel servizio o portale il secondo fattore di autenticazione. In questo modo se la username e password sono state compromesse, al cybercriminale viene a mancare il secondo fattore per autenticarsi, ovvero il codice OTP generato dall’app del vostro telefonino o che vi arriva via sms.
- Contattare direttamente il consulente in banca o il fornitore del servizio.
- Verificare tramite app o accesso al sito web movimenti sospetti o transazioni mai effettuate e da dove arrivano (paese, negozio online…).
- Contattare le autorità come la polizia postale.
- Se il PC risulta bloccato oppure i dati sono stati criptati e il cybercriminale vi chiede di pagare in bitcoin (una criptovaluta), non pagate! Pagando alimentate il loro business per lo sviluppo di nuovi malware e voi sarete etichettati come una vittima “fidelizzata”. Sanno che, colpendovi nuovamente, voi pagherete.
Per questo non pagate, ma ripristinate i dati dal backup, meglio se in cloud dopo aver ripristinato il PC.
Aggiungo che, nel caso non abbiate nessun backup e che i dati criptati siano quelli della vostra vita, allora incrociate le dita e sperate che non vi chiedano somme elevate di denaro e che vi diano la corretta chiave di decifratura. I cybercriminali non tentano di vincere la lotteria chiedendo milioni di euro/dollari perché nessuno li ha (se non solo grosse aziende), ma “vivono” di piccole quantità che sommate tra di loro si può aggirare sui milioni di euro/dollari. Inoltre, una volta pagato, avrete la vostra chiave di decifratura per riavere indietro i dati perché è nel loro interesse “soddisfare” il cliente per i motivi citati sopra.
Le minacce informatiche sono in continua evoluzione: l’email di phishing sono sempre più fatte bene ed i malware al loro interno sempre più intelligenti per sfuggire a qualsiasi controllo software.
L’evoluzione dei cybercriminali porta ad effettuare questi tipi di attacchi anche via SMS o via whatsapp.
Non dobbiamo chiederci “se verremo colpiti”,
ma “quando verremo colpiti”.
Pensate, quindi, a come mettere al sicuro i propri dati in cloud. Ricordatevi di scegliere una password sicura e che rispecchi determinati requisiti di complessità come da mio articolo “Proteggere le password che accedono al cuore dell’azienda” cliccando QUI) e di abilitare la 2FA (Two Factor Authentication, secondo fattore di autenticazione).
Spero di avervi fornito tutte le informazioni necessarie per prestare attenzione alle truffe informatiche.