PANDEMIA E CYBER SECURITY

Minacce cibernetiche all’ombra di Immuni: i consigli per difendersi

L’instabilità sociale causata dalla pandemia di Covid-19 ha creato numerose opportunità per i criminal hacker e di conseguenza sono aumentate le minacce cibernetiche per aziende e professionisti. Ecco i consigli per non cadere vittime di truffe, raggiri e attacchi informatici

04 Giu 2020
G
Corrado Giustozzi

Esperto di sicurezza cibernetica presso il CERT-PA AgID


È proprio nei momenti di instabilità come quello creato dalla pandemia di Covid-19 che si creano le maggiori opportunità per coloro che operano nell’illecito e cercano di trarre profitto dalle difficoltà altrui: aumentano così per le imprese ed i cittadini le minacce cibernetiche e quindi i rischi di cadere vittima di truffe, raggiri e attacchi condotti dalla criminalità più o meno organizzata, proprio sfruttando ad arte lo stato di confusione e incertezza propri del momento.

Minacce cibernetiche: l’app Immuni come esca

Viviamo infatti in tempi di incertezza, ansia e confusione sociale: il lockdown ci ha tenuti improvvisamente a casa e abbiamo dovuto fare massiccio ricorso alla tecnologia sia come strumento per sopperire alle limitazioni imposte dalle misure di contenimento sociale, grazie alle più disparate soluzioni di videoconferenza e telelavoro, sia come mezzo per contribuire alla lotta contro la diffusione dei contagi, grazie alle tanto controverse applicazioni di contact tracing.

Così proprio in questi ultimi giorni l’Italia è stata interessata da ben due specifiche campagne di diffusione di malware create e orchestrate in modo da sfruttare l’emozione e i bisogni della gente legati sia ai disagi causati dalla malattia che ai danni economici prodotti proprio dal lockdown.

La prima, identificata col nome di FuckUnicorn e diffusa a partire dal 25 maggio, è una campagna di ransomware condotta in modo da sfruttare il rilascio della nota app Immuni per indurre le ignare vittime a scaricare sul proprio dispositivo un’applicazione malevola.

A tal fine è stato creato un sito civetta che riproduceva i contenuti della Federazione Ordini Farmacisti Italiani, ospitato su un dominio dal nome estremamente simile a quello del dominio legittimo (una lettera “i” maiuscola sostituita con una “l” minuscola, a prima vista indistinguibili).

Da tale sito è stata resa scaricabile una applicazione chiamata IMMUNI.EXE la quale, una volta eseguita, mostrava una falsa ma realistica dashboard che apparentemente consentiva di rimanere aggiornati sull’andamento del contagio, ma in realtà provvedeva in background a cifrare i file dell’utente per poi chiedere il consueto riscatto per il loro ripristino; nello specifico, un importo di 300 euro da pagarsi ovviamente in Bitcoin.

Minacce cibernetiche all’ombra di Immuni: il falso sito INPS

Più grave la seconda e più recente campagna, attivata il 29 maggio appositamente per sfruttare il weekend “lungo” grazie al ponte del 2 giugno.

Questa, denominata INPS-COVID, faceva addirittura leva sulle difficoltà economiche indotte nella popolazione dall’emergenza sanitaria inducendo le vittime a scaricare un’applicazione malevola da un falso sito istituzionale creato per l’occasione.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Cloud storage

Tale sito civetta, che riproduceva l’apparenza e i contenuti del sito INPS, era stato messo online sul falso dominio inps-it.top creato per l’occasione solo pochi giorni prima. Su di esso veniva annunciata l’attivazione del servizio per richiedere la “nuova indennità COVID-19” falsamente riferita al recente Decreto-legge governativo con le misure di sostegno all’economia.

Sottoponendo la richiesta, tuttavia, si otteneva di scaricare non il modulo PDF della fantomatica domanda ma un’applicazione malevola per Android (file APK), apparentemente consistente in un reader Acrobat ma in realtà costituita da un malware di tipo “Trojan-Banker”, ossia dotato della capacità di monitorare continuamente l’attività dell’utente sul proprio dispositivo per riconoscere eventi quali il collegamento a siti di home banking e carpire la digitazione di password.

Entrambe queste campagne sono state tempestivamente scoperte e segnalate agli organismi preposti (CSIRT Italia e CNAIPIC), mentre i relativi indicatori di compromissione (IoC) sono stati diffusi nei circuiti nazionali e internazionali in modo da essere rapidamente inseriti anche nelle “firme” dei principali antivirus: tuttavia, l’attività di reazione è sempre lenta ed è quindi possibile che, grazie anche alla loro deliberata attivazione durante le giornate festive, entrambe abbiano raggiunto un discreto numero di utenti. E questo ci porta a svolgere alcune riflessioni importanti.

I consigli per mitigare i rischi

Campagne come queste sono abbastanza frequenti da sempre, e sono assai insidiose anche “in tempo di pace”: diventano tuttavia potenzialmente micidiali “in tempo di guerra”, ossia quando sfruttano le peculiarità del momento, come quello attuale, in cui sia i privati che le aziende non operano in condizioni ottimali ma con infrastrutture e tecnologie provvisorie, spesso improvvisate, e in situazione di disagio e di pressione psicologica.

In tali condizioni non solo è più facile non accorgersi dell’inganno e cadere vittima della trappola, ma le conseguenze possono essere estremamente più gravi rispetto ai tempi ordinari: ad esempio il lavoratore in “smart working”, che da casa si collega al sistema informativo aziendale col proprio PC non adeguatamente protetto, può facilmente, se il collegamento non è stato realizzato e securizzato a regola d’arte, inoculare involontariamente il malware nella propria azienda con le conseguenze immaginabili.

La pandemia ci ha fatto forzosamente scoprire i vantaggi dello smart working e dello home working, ma ha anche consentito che, per la fretta di rispondere all’emergenza, abbassassimo la guardia sulle possibili minacce. Queste, dal canto loro, sono addirittura aumentate sfruttando a proprio vantaggio le maggiori difficoltà cui vanno soggette imprese e cittadini in questi momenti di precarietà e incertezza.

Dunque, come si vede, il ritorno alla normalità “post fase 2” non può essere affrontato con leggerezza, lasciando le cose come sono: la diminuzione della tensione deve essere rapidamente impiegata per verificare ed eventualmente ripensare tutti i processi e i sistemi frettolosamente attivati durante l’emergenza per consentire la continuità operativa, rafforzandone non solo gli elementi tecnologici ma anche e soprattutto quelli legati al comportamento delle persone e al fattore umano.

Il tempo, in questo caso, non gioca a favore dei buoni e quindi non dobbiamo sprecarlo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4