Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Phishing via PEC, la nuova truffa delle finte fatture elettroniche: i consigli per difendersi

I criminal hacker hanno avviato una nuova campagna di phishing via PEC per colpire le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali. Ecco i dettagli tecnici e i consigli per difendersi

11 Ott 2019

Una massiccia campagna di phishing via PEC sta colpendo negli ultimi giorni le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali.

Come successo già in passato, ad esempio per la diffusione del ransomware FTCODE, le e-mail malevoli vengono veicolate mediante altri indirizzi PEC già compromessi in passato.

Phishing via PEC: i dettagli della truffa

Le e-mail malevoli sono riconoscibili perché hanno il seguente oggetto:

Invio File <XXXXXXXXXX>

dove, al posto delle X compare una stringa casuale composta da 10 cifre. Il testo dei messaggi di posta elettronica certificata fraudolenti fa riferimento, inoltre, ad un allegato firmato digitalmente:

ITYYYYYYYYYY_1bxpz.XML.p7m

ma che in realtà non è presente all’interno dell’e-mail. La mancanza dell’allegato differenzia questa nuova truffa dai precedenti attacchi alle caselle PEC utilizzati per diffondere malware di ogni genere: oltre al ransomware FTCODE già menzionato prima, ricordiamo anche gli attacchi coi malware sLoad, Gootkit e DanaBot.

Secondo gli analisti del CERT-PA che hanno rilevato l’esistenza della nuova campagna malevola, siamo dunque di fronte ad un vero e proprio attacco di tipo phishing mirato alla raccolta di informazioni riservate ai danni delle vittime. Ciò lascerebbe supporre che i criminal hacker stiano preparando il campo per un successivo attacco mirato ai danni di target ben definiti.

Il testo del messaggio malevolo veicolato mediante questa nuova tipologia di phishing viene infatti utilizzato per comunicare un nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio”.

Dall’analisi dell’e-mail, però, viene fuori che tale indirizzo coincide sempre con il mittente della casella di posta elettronica certificata compromessa e controllata dall’attaccante. In particolare, il CERT-PA ha scoperto che:

  • il display name del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
  • il mittente effettivo è una casella PEC di una società italiana.

e che i phisher hanno clonato una comunicazione PEC lecita emessa a inizio mese da Sogei contestualmente all’attivazione del Sistema di Interscambio.

La truffa, ben congeniata, serve dunque ai criminal hacker per indurre le potenziali vittime del phishing a inviare le future fatture elettronica al nuovo indirizzo del Sistema di interscambio; ma così facendo non fanno altro che “regalare” agli attaccanti i loro dati riservati.

Come se non bastasse, all’interno del messaggio di testo è nascosto un efficiente sistema di tracciamento che, abilitandosi all’apertura della mail e puntando al dominio “pattayajcb[.]com”, consente di monitorare le attività delle vittime.

Come difendersi dalla nuova truffa

Secondo i dati raccolti dal CERT-PA in collaborazione con i gestori PEC, i criminal hacker sarebbero riusciti a sfruttare circa 500 account PEC compromesse per inviare un totale di 265.000 messaggi di phishing nell’ultima settimana.

Il consiglio per difendersi da questa nuova campagna malevola è ovviamente quello di ignorare e cancellare eventuali e-mail PEC provenienti da utenze non riconosciute e che, ovviamente, comunicano un nuovo indirizzo per il recapito delle fatture elettroniche al Sistema di Interscambio.

È utile, inoltre, seguire alcune semplici regole di sicurezza informatica:

  • controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
  • prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
  • è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
  • evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5