(Fonte foto: Pixabay)

Coronavirus e-mail sospette: attenzione alle truffe online

Soprattutto nel caso del telelavoro, così diffuso durante il coronavirus, è necessario adottare misure di sicurezza extra per stare più attenti alle truffe

Circolano in questi giorni e-mail e PEC che, facendo leva sull’emergenza coronavirus, promuovono prodotti dalle dubbie funzionalità. In alcuni casi si tratta di veri e propri malware, in altri casi vengono pubblicizzati strumenti per il telelavoro di produttori minori e arrivisti.

Al di là dell’effettivo valore dei software promossi, è bene ricordare che con la necessità del telelavoro si aggiunge, per i lavoratori, una maggiore responsabilità per la sicurezza del proprio computer. Sebbene sia facile, lavorando su un dispositivo che fino a qualche settimana fa era destinato all’uso privato, dimenticarsi del contesto sensibile in cui lo si usa (quando, ad esempio, accediamo ad applicativi critici e dati sensibili), e al contempo sia difficile accettare restrizioni sull’utilizzo di un computer proprio, è necessario adottare misure di sicurezza extra per stare più attenti alle truffe.

Le amministrazioni e i datori di lavoro possono controllare gli aspetti di sicurezza tecnici che sono necessari in una situazione di lavoro da remoto ma non possono controllare il fattore umano e, in questa emergenza, è facile cadere in errore.

Se vengono rubate le password per l’accesso ai gestionali di lavoro, delle caselle PEC dell’amministrazione o il nostro computer diviene parte di una botnet, il danno che i criminali possono infondere si estende a tutta la comunità / PP.AA e si profilano una serie di danni collaterali di difficile contenimento (ad esempio, un account PEC compromesso è spesso usato per tentare di infettare massivamente migliaia di altri account; l’accesso a informazioni sensibili da parte di terzi non può essere “annullato”, e così via).

Ecco quindi una serie (non esaustiva) di accorgimenti generali a cui attenersi.

Non installate software
Soprattuto se a seguito di sollecitazioni via e-mail. Nel caso sia un tecnico della vostra amministrazione/azienda a richiedere l’installazione, verificate attentamente il contesto: l’e-mail era attesa? Le frasi sono scritte con grammatica corretta? Il software da installare ha un fine specifico? Eventuali link nell’e-mail puntano a siti conosciuti? Il mittente è corretto?

Nel dubbio, telefonare al contatto in calce; si può chiedere conferma rispondendo all’e-mail ma questo può esporre al rischio di successivi tentativi di frode. Ricordiamo che, per ogni sospetto, potete salvare l’e-mail e allegarla a una segnalazione o una e-mail da mandare a Cert-Pa, la struttura che opera all'interno dell'Agenzia per l’Italia Digitale (AGID), preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni, inviandola all'indirizzo cert-pa@cert-pa.it per chiedere una valutazione.

Sono stati riscontrati in questi giorni molte campagne pubblicitarie di prodotti per il telelavoro.


Qualsiasi sia la natura e qualità del prodotto, è meglio rimandare l’esplorazione di nuovo software a momenti di minor necessità. Il software che installiamo sul nostro computer oggi può essere pericoloso per quando domani mattina useremo lo stesso computer per lavorare.

Documenti
Normalmente i criminali si attengono al tema dei pagamenti, degli ordini o delle tasse per invogliarci a farci aprire un documento Word o Excel; inutile dire che anche il tema coronavirus è stato usato per questi fini.

Ricordiamoci che nessuna autorità o persona invierebbe comunicati dentro archivi compressi (allegati con estensione ZIP, RAR, TAR, GZ). Il formato preferenziale per le comunicazioni è PDF o P7M; questi formati (specie il primo) non sono totalmente assenti da brutte sorprese ma è più difficile condurvi un attacco completo.


Alcune amministrazioni o aziende usano Word come editor di testo; i documenti Word possono contenere macro malevole ma nelle versioni recenti queste sono usabili solo in formati appositi. Prima di aprire un documento Word verificare che l’estensione sia DOCX e non DOCM o DOC. Quest’ultimo formato è usato anche da versioni molto vecchie di Word.


Analogo discorso vale per i file Excel: XLSX è l’estensione sicura, XLSM e XLS quelle non sicure.

Purtroppo esistono meccanismi che consentono di includere (indirettamente) malware anche in documenti DOCX e XLSX, per cui queste non sono estensioni sicure al 100%. Tuttavia, l’utilizzo di queste estensioni per scopi malevoli non ha (ancora) avuto grossa diffusione, in ogni caso è meglio non aprire un documento contenuto in un’e-mail con elementi sospetti. E un'altra regola generale è quella di non abilitare mai le macro: i criminali usano immagini e trucchi vari per far sembrare il documento incompleto o senza formattazione. Nessuna comunicazione necessita delle macro.


Versioni molto vecchie di Office (esempio, 2010) sono vulnerabili ad alcuni attacchi. Meglio aggiornarle!

Ricordiamo che, per ogni sospetto, potete salvare l’e-mail e allegarla a una segnalazione o una e-mail da mandare a Cert-Pa, la struttura che opera all'interno dell'Agenzia per l’Italia Digitale (AGID), preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni, inviandola all'indirizzo cert-pa@cert-pa.it per chiedere una valutazione.

Phishing
Il phishing è una frode informatica, realizzata con l'invio di e-mail contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati riservati, oppure a far compiere alla vittima determinate operazioni che, di solito, comportano il download di un determinato file oppure il collegamento a uno specifico sito web. I rischi che si corrono quando si è vittima di un attacco di phishing sono diversi e in continua evoluzione, come il furto di identità, la partecipazione ad attività illegali, la cessione di risorse all’attaccante o l’inserimento della mail della vittima in una lista di spam. Sebbene non se ne abbia avuta evidenza, almeno fino ad ora, non è difficile immaginare che il tema coronavirus possa essere usato anche in e-mail di phishing. In questi casi dobbiamo stare attenti a non inserire mai username e password usati per lavoro su siti o programmi che non siano quelli dell’amministrazione o dell’azienda.

red/gp

(Fonte testo e foto: Cert-Pa, Computer Emergency Respons Team - Pubblica Amministrazione)