Attacchi informatici via PEC

Il sempre maggior utilizzo della Posta Elettronica Certificata nel nostro Paese, ha condotto a un importante incremento del numero di attacchi informatici portati e perpetrati attraverso tale strumento.

I criminali informatici hanno, difatti, posto sotto la lente di ingrandimento la PEC al fine di utilizzarla per infettare sistemi e per predisporre vere e proprie truffe informatiche.

Con questo Focus ci si pone l'obiettivo di individuare e descrivere le principali tipologie di attacchi che hanno interessato e interessano a tutt'oggi questo strumento, ciò al fine di aiutare il Professionista a riconoscere ed evitare possibili infezioni o perdite di dati.

Attualmente i principali fenomeni legati alle e-mail certificate sono caratterizzati principalmente da tentativi di phishing (sottrazione di codici di accesso a siti internet o di informazioni personali e finanziarie) e alla trasmissione di virus particolarmente distruttivi come il cryptolocker; nonché nuove forme ibride di attacco informatico che combinano in vari modi più tipologie di intrusione nei sistemi.

Per quanto riguarda queste nuove forme di attacco “ibrido”, si sono moltiplicate – negli ultimi mesi – PEC volte a simulare comunicazioni da parte di gestori di utenze telefoniche o di energia, nonché l'inoltro di fatture elettroniche provenienti da soggetti commerciali.

Proprio al fine di scongiurare possibili intrusioni nei sistemi riceventi, l'Agenzia delle Entrate ha recentemente rilasciato il seguente comunicato stampa: “Negli ultimi giorni sono state segnalate delle false e-mail indirizzate a privati e professionisti provenienti da indirizzi Pec validi, non legati in alcun modo all'Agenzia.I messaggi, tuttavia, hanno un oggetto che assomiglia a un numero di protocollo utilizzato per le classiche comunicazioni dell'Agenzia (COMUNICAZIONE XXXXXXXXXX [ENTRATE|AGEDCXXX|REGISTR] e includono in allegato un file in formato zip che contiene a sua volta un documento pdf non valido ed un file vbs. Quest'ultimo, se lanciato, scarica sul computer un software dannoso per ottenerne il controllo.L'Agenzia è estranea a tali comunicazioni e raccomanda ai cittadini che hanno ricevuto queste Pec di cestinarle senza aprirne gli allegati”.

Analoghi comunicati sono poi stati divulgati dall'AGID (Agenzia per l'Italia Digitale) e successivamente dalla Computer Emergency Response Team della Pubblica Amministrazione (alias CERT-PA), ciò proprio a riprova del massiccio attacco informatico che sta interessando le caselle di Posta Elettronica Certificata.

Oltre a ciò, da segnalarsi, sono poi i numerosi casi di false comunicazioni di cancelleria che, simulando un aggiornamento dei registri relativi ai fascicoli informatici, cercano – anche in questo caso – di infettare i nostri sistemi di studio.

Per scongiurare quest'ultima tipologia di attacco, l'Ordine degli Avvocati di Torino ha rilasciato una serie di suggerimenti volti a riconoscere i messaggi malevoli:

1) controllare l'oggetto della PEC, che deve avere un numero di ruolo valido e una precisa sintassi quale “COMUNICAZIONE” a cui segue il numero di RG;

2) controllare gli allegati prima di aprirli: le comunicazioni della cancelleria contengono sempre un file formato txt, un file “IndiceBusta” e “Comunicazione” in formato xml e un file con estensione “pdf.zip” contenente il provvedimento. Se si vede un solo file in formato zip senza altri è meglio diffidare dall'apertura;

3) controllare il mittente del messaggio poiché l'indirizzo corretto del Tribunale rispetta la sintassi “tribunale.___________LUOGO___#civile.ptel.giustiziacert.it” e simili.

Tali suggerimenti, molto utili in caso di false comunicazioni asseritamente provenienti dalle cancellerie, non sono purtroppo altrettanto efficaci per quanto attiene all'ultima tipologia di attacco che sta interessando le nostre caselle PEC nell'ultimo periodo.

Si tratta dell'infezione da parte del malware denominato “FTCODE”, il quale agisce – in modo realmente subdolo – attaccando i sistemi computerizzati con due principali modalità:

1) Attiva un così detto “Criptolocker” (o ransomware) che avvia un processo di cifratura di tutti i dati del nostro computer rendendoli, quindi, illeggibili se non attraverso una specifica password settata dal criminale informatico. Per l'invio della password l'hacker chiede che venga versato un “riscatto” in bitcoin; riscatto che – purtroppo – anche se pagato non sempre comporta poi l'invio della password desiderata.

Per proteggersi da questo tipo di attacco è necessario seguire delle buone prassi di utilizzo dei sistemi informatici, quali:

a) Effettuare backup molto frequenti (preferibilmente giornalieri) di tutti i dati dei propri computer;

b) Disconnettere sempre l'hard disk di backup dal sistema principale dopo aver effettuato la copia;

c) Qualora si utilizzino dei sistemi di cloud, provvedere – non appena accortisi dell'attacco – a disconnettere il sistema dalla rete internet, onde evitare che la cifratura si propaghi anche i documenti presenti in remoto;

d) Qualora si utilizzi un server o un NAS, prevedere specifiche password di accesso a questi sistemi, non lasciando quindi che il flusso di dati e comunicazione fra “le macchine” sia libero e non protetto.

2) Oltre a questo, il malware tenta di carpire le password archiviate sui software di maggiore utilizzo del sistema, quali - ad esempio - i browser di navigazione su internet. Per tale ragione è sempre sconsigliabile permettere a programmi come Google Chrome, Firefox, Internet Explorer… etc… di archiviare e utilizzare le nostre password tramite i sistemi di compilazione automatica.

Il malware in parola, poi, utilizza uno specifico sistema di diffusione volto ad infettare altre caselle PEC; tale virus – infatti – utilizza la casella di posta elettronica certificata oggetto di infezione, per replicarsi attraverso nuove e-mail inviate a tutti i nostri contatti.

Il software – normalmente – recupera gli ultimi messaggi inviati, autoallegandosi a nuove e-mail aventi il medesimo oggetto di quelle precedentemente inoltrate e autoinviandosi ai medesimi destinatari, così potremo vederci recapitare messaggi di posta con oggetto plausibile (ad esempio “transazione rossi” oppure “notificazione ai sensi della L. n. 53/1994”) provenienti da utenti conosciuti, quali aziende o Colleghi.

Per tutelarsi da questi attacchi, quindi, è sempre bene ricordare che il virus è normalmente contenuto all'interno di un file di tipo .zip o in documenti di testo quali .doc o .pdf; in alternativa la mail potrebbe invece contenere, nel corpo del messaggio, un link ipertestuale (da non aprire assolutamente) che reindirizzerà al download del virus vero e proprio.

In caso di dubbio, prima di aprire documenti sospetti, è sempre bene contattare telefonicamente il mittente del messaggio, al fine di accertarsi della bontà dello stesso.

Da ultimo si segnala che, a seguito di ulteriori approfondimenti posti in essere dalla CERT-PA, è risultato che questa tipologia di malware, è in grado di infettare anche gli smartphone di tipo android. Si raccomanda quindi la massima attenzione anche nell'apertura di tali file dal proprio telefonino.