L’AGID (Agenzia per l’Italia digitale) ha condiviso le indicazioni diffuse da CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) che forniscono ai professionisti alcuni suggerimenti per prevenire o contenere gli attacchi informatici veicolati attraverso i canali di posta elettronica ordinario (PEO) e posta elettronica certificata (PEC).
La guida ha lo scopo di sensibilizzare circa i potenziali rischi e conseguenze legate alla diffusione di malware ed è applicabile alla campagna di malware e virus in corso, tra cui quella denominata FTCODE, che mette a rischio i dati delle persone e dei sistemi Android. Le restrizioni, attuabili tramite specifiche configurazioni del software, si riferiscono agli ambienti desktop basati sul sistema operativo Microsoft Windows, che per diffusione e contesto di utilizzo sono maggiormente esposti a questa tipologia di attacchi informatici.
Le caselle di posta elettronica, sia certificate (PEC) che ordinarie (PEO), sono veri e propri canali su Internet verso i quali è possibile indirizzare attacchi informatici. Le principali e più diffuse minacce sono rappresentate da eventi di phishing e distribuzione di vari tipi di malware, come i ransomware e i trojan, specializzati nel carpire dati ed altre informazioni sensibili tra cui le credenziali d’accesso ai diversi servizi telematici.
Se nel primo caso (ransomware) il pericolo, in caso di attacco, è rappresentato dall’impossibilità di accedere ai dati personali, nel secondo (trojan), una volta compromesso il sistema operativo, possono innescarsi – in modo silente – una serie di effetti e rischi collaterali.
A partire dal 2018, il CERT-PA ha individuato diverse campagne di diffusione di Trojan, bancari o info stealer, a danno di utenti possessori o utilizzatori di caselle PEC. Nella maggior parte delle occasioni i vettori sono caselle di posta (mittenti) compromesse ed utilizzate all’insaputa dei titolari.
LA TRUFFA DELLA FINTA FATTURA TIM
È stata individuata una nuova variante di FTCODE, seria minaccia per aziende, professionisti e pubbliche amministrazioni italiane, che prende di mira le caselle di posta elettronica certificata (PEC) mettendo a rischio i propri dati che, una volta cifrati, non possono più essere recuperati.
Il malware non viene più veicolato, come nelle precedenti versioni, mediante documenti DOC ma tramite e-mail PEC malevoli contenenti un link che richiama il testo dell’oggetto di una precedente conversazione con il mittente. Cliccando sul collegamento si scarica un file ZIP al cui interno è stato archiviato un file VBS.
La nuova variante del ransomware FTCODE, in fase di esecuzione del file VBS, scarica e visualizza una fattura telefonica TIM. In seguito all’installazione il virus esegue alcune semplici operazioni usando un codice PowerShell utile a cifrare la chiave di codifica dei file prima di comunicarla al server di comando e controllo (C&C) gestito dagli hacker. Dopodiché FTCODE inizia ad estrarre i dati personali e le password dal pc.
Se il link è aperto da un dispositivo android (smartphone o tablet) è in grado non solo di leggere gli sms, i contatti e le chiamate dell’utente ma anche le password delle applicazioni di messaggistica istantanea ed e-mail e di ricevere istruzioni dagli autori dell’attacco.
COME RICONOSCERE, PREVENIRE E/O CONTENERE L’ATTACCO FTCODE
Per difendersi dal ransomware FTCODE è utile ricordare che le tecniche usate dagli hacker per ingannare le potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.
Al fine di contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.
Il CERT-PA fornisce indicazioni utili per comprendere meglio i rischi presenti sulla rete e individuare le azioni da applicare a computer e altri dispositivi al fine di:
- avviare tempestive valutazioni di impatto sui propri sistemi informativi,
- implementare le misure di contrasto/contenimento dei rischi correlati,
- preservare gli account di posta elettronica e posta elettronica certificata.
Addestrare l’utente finale rappresenta la miglior barriera per bloccare una possibile minaccia; quando ciò̀ non accade è proprio l’interazione dell’utente stesso a dare seguito alla minaccia. Nelle aziende è molto importante formare il personale sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitarlo, ed investire sulla security awareness non solo dei dipendenti ma anche di tutti gli utenti aziendali (anche cliente e fornitori esterni).
Il CERT-PA suggerisce anche di adottare, ove possibile, delle configurazioni utili ad innalzare il livello di protezione di quei PC che sono particolarmente esposti al rischio in quanto destinati alla consultazione delle caselle di posta elettronica PEC e PEO. È stato, inoltre, diffuso anche gli IoC dell’ultima variante del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware.
Gli utilizzatori o titolari delle caselle PEC/PEO sono comunque tenuti ad adottare tutte le norme di sicurezza di solito raccomandate per mitigare i rischi associati all’uso della posta elettronica.
In tal senso, le indicazioni sono:
- modificare le credenziali delle caselle, con cadenza trimestrale, adottando requisiti di complessità;
- non ignorare eventuali attività sospette rilevate, in ingresso o in uscita, dalle caselle;
- al manifestarsi di una sospetta anomalia o attività legata ad accessi non autorizzati in una casella, provvedere subito a cambiare la password del servizio, quindi allertare il supporto tecnico di riferimento;
- utilizzare la protezione di un antivirus accertandosi che sia sempre attivo ed aggiornato e non ignorando la presenza di avvisi di sicurezza;
- eseguire periodicamente una scansione antivirus della propria postazione/dispositivo ed in particolare degli allegati che si desidera aprire;
- se si ritiene di aver aperto un allegato non sicuro, eseguire una scansione AV completa quindi utilizzare, per ulteriore accertamento, un antivirus esterno come i “rescue disk” che permettono di sfruttare un’unita CD, DVD, USB per esaminare il sistema dall’esterno;
- accertarsi che il sistema operativo abbia tutti gli aggiornamenti di sicurezza rilasciati e che siano attivi gli “Aggiornamenti Automatici”, in modo da garantire l’applicazione delle correzioni di sicurezza non appena disponibili;
- evitare di cliccare su un link quando punta su destinazioni non note (posizionando il puntatore del mouse sul link senza cliccare dà in genere la possibilità di vedere l’indirizzo contenuto nel link stesso);
- non aprire allegati e file provenienti da mittenti sconosciuti senza gli opportuni controlli del caso;
- in genere, diffidare da comunicazioni che richiedono l’esecuzione di azioni non richieste o che invitano ad inserire credenziali di accesso, o altre informazioni sensibili, all’interno di form online in quanto, con altissima probabilità, si tratta di pagine fasulle appositamente predisposte per catturare le informazioni.
- verificare regolarmente sul sito del CERT-PA l’emergere di campagne o attacchi attivando, ove rilevato un caso analogo, le contromisure suggerite.
… E SE SERVE UN VALIDO SUPPORTO TECNICO…
Nexsys offre uno staff altamente qualificato al fine di progettare soluzioni, sistemi informatici e cloud a prova di qualsiasi attacco hacker; i nostri corsi di formazione possono dare a tutti i dipendenti dell’azienda e al personale IT, i mezzi necessari per poter agevolmente evitare tutti i pericoli dell’ingegneria sociale e delle minacce via web.
Sicurezza informatica contro:
- malware
- attacchi phishing via e-mail
- virus
- spam
- attacchi hacker
- furto di dati
- truffe online
Corsi di formazione per lo staff aziendale:
- sicurezza informatica
- gestione delle sospette mail di phishing
- gestione degli attacchi di ingegneria sociale
- prevenzione degli attacchi
- policy di utilizzo strumenti in sicurezza
- implementazione delle nuove politiche di sicurezza nel sistemo operativo
Scopri di più su: https://www.nexsys.it/information-security/
https://www.nexsys.it/cybersecurity-base/