Diverse comunicazioni di allerta sono state inviate in questi ultimi giorni riguardo nuovi pericoli che possono annidarsi negli account email di enti, aziende, studi professionali e semplici cittadini.
Sotto attacco i dati contenuti in PC e server degli utenti, gli estremi bancari nonché i portafogli delle vittime indotte a indebiti pagamenti. Cresce in Italia l’allerta sul phishing, la trappola informatica che utilizza allegati o link fraudolenti inviati via mail per rubare dati personali e credenziali di accesso a importanti servizi online, come ad esempio l’home banking.
Inutile dire quanto sia importante conoscere questo tipo di minaccia, la cui frequenza sembra destinata a crescere ulteriormente nei prossimi anni.
IL 23 ottobre CERT-PA ha pubblicato un avviso per conclamare la massiccia diffusione di una campagna operante tramite un ramsonware denominato FTCODE che cripta i dati dei computer infettati prendendoli in ostaggio fino al pagamento di un riscatto.
Il malware era “sbarcato” in Italia già a settembre per poi diffondersi – anche tramite varianti – tramite email ordinarie e, soprattutto, PEC: si nasconde in un file.doc a sua volta contenuto in una cartella compressa allegata al messaggio di posta elettronica.
Il 24 ottobre i ricercatori di Certego – società italiana specializzata in cybersecurity – hanno reso disponibile un tool sviluppato per tentare di riportare allo stato originale i file cifrati dal noto ransomware.
Il 25 ottobre con un comunicato l’Agenzia dell’Entrate-Riscossione ha allertato l’utenza su una campagna di phishing in atto:
“Si segnalano nuovi tentativi di truffa via email che, dietro la comunicazione dell’arrivo di una “raccomandata digitale” da parte del nostro Ente, invitano a cliccare su un link per accedere al documento o a inserire dei codici. Si tratta di un tentativo di phishing finalizzato al furto delle credenziali bancarie. Agenzia delle entrate-Riscossione sta ricevendo diverse segnalazioni dai contribuenti destinatari di questi messaggi, aventi come oggetto “Agenzia delle entrate-Riscossione”, relativi a presunti documenti esattoriali da visionare/estrarre collegandosi al link in essi riportati “ACCEDI DOCUMENTO”.
Si informa che Agenzia delle entrate-Riscossione è assolutamente estranea all’invio di questi messaggi e raccomanda di non tenerne conto, di non cliccare sui collegamenti presenti e di eliminarli immediatamente ”.
Sempre il 25 ottobre, l’INAIL si vedeva costretta a segnalare con proprio comunicato stampa una campagna di phishing eseguita a suo nome:
“L’Inail ha segnalato alla polizia postale e al Cert-PA una nuova campagna di phishing in corso in questi giorni che utilizza il nome dell’Istituto per avanzare richieste di pagamento fraudolente, attraverso finte mail di posta elettronica certificata (PEC) che simulano lo stile dei messaggi inviati dall’Inail ai propri utenti. Le mail-truffa hanno come oggetto “Trasmissione Atti INAIL…” e contengono un allegato con estensione “.pdf” che riproduce la carta intestata e il formato degli avvisi bonari dell’Istituto. Nell’allegato si invita il destinatario a effettuare un pagamento verso un codice IBAN che non appartiene all’Inail. L’Istituto ricorda che non richiede mai versamenti tramite IBAN e invita a verificare sempre l’autenticità dei messaggi ricevuti, tenendo presente che le PEC che invia ai propri utenti sono provenienti dal dominio “postacert.inail.it” e, come tutte le PEC, sono corredate dal certificato che identifica la firma digitale del gestore. Nel caso dell’Inail, il dominio del certificato è “telecompost.it” ed è possibile controllarne l’autenticità tramite la specifica funzione di verifica della firma digitale, disponibile in tutti i sistemi di accesso alla posta elettronica ”.
Per evitare di cadere nella trappola del phishing, ecco alcuni consigli utili:
1. Massima prudenza durante la navigazione online. Il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Di conseguenza, si rivela fondamentale la formazione alla sicurezza.
2. Attenzione ai link abbreviati. E’ importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo. I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
3. Dubbi su un messaggio di posta? Leggerlo di nuovo! Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo che spesso ha un contenuto impersonale. I cybercriminali spesso commettono errori in queste e-mail, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.
4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti. Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente: di solito, le minacce e l’urgenza – soprattutto se provenienti da
5. Navigare sicuri sul protocollo HTTPS. Si dovrebbe sempre, ove possibile, usare un sito web sicuro per navigare (indicato da https: // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser), soprattutto quando si trasmettono delle informazioni sensibili online come ad esempio i dati della carta di credito. Non si dovrebbe mai usare una rete WiFi pubblica per accedere al proprio conto bancario, per acquistare o immettere informazioni personali online.