Le Best Practices utili a prevenire i Ransomware

 Potenzialmente il miglior Anti-Phishing sarebbe l’utente! Tuttavia se i casi di infezione continuano significa che attenzione e cautela nell’ uso della posta elettronica non sono comportamenti praticati in misura sufficiente.

Solo ultimamente i prodotti antispam si stanno evolvendo in modo tale da proteggere l’utente anche da se stesso, ma laddove non sono ancora presenti tecnologie capaci di questo le alternative non sono molte, non è facile ma dobbiamo formare gli utenti e fare in modo che ci mettano attenzione nel tempo, i modi esistono.

Questo non significa diventare schiavi dello strumento ma tenere presente che è un veicolo ideale per propagare veramente tanti tipi di malware, in altrettanti modi fantasiosi.

Informazione, formazione e vademecum sono quindi attività fondamentali per prevenire i Ransomware e aumentare in modo significativo la sicurezza dei nostri dati, ma tuttavia inutili se tenuti in un cassetto o nel dimenticatoio.

Utilizzare in modo attendo e consapevole la posta elettronica significa fare proprie una serie di piccole attenzioni e metterle in pratica nel momento in cui riceviamo una mail per captare possibili situazioni di pericolo e cosi prevenire un’infezione.

Questi comportamenti “virtuosi” vengono chiamati “Best Pratices” e non richiedono competenze tecniche ma solamente un livello di conoscenza del PC da utente, ovvero quello di un normalissimo utilizzatore.  

Vediamo quali sono gli aspetti utili agli utenti per riconoscere una possibile mail di phishing e prevenire l’esecuzione di un crypto-virus. 

Di seguito prenderò come riferimento Outlook in quanto è quello più utilizzato, in modo analogo gli stessi aspetti possono essere controllati su qualsiasi altro client di posta oppure anche se si usa una webmail.

Eccoli:

• Un utilizzo corretto e consapevole della posta elettronica non deve essere fatto di terrore, bensì di attenzione. Dobbiamo cercare di capire se la mail che abbiamo ricevuto è lecita oppure no, quindi la prima domanda che dobbiamo porci è: stiamo aspettando una mail di questo tipo? Deve esserci coerenza, un legame e un’attinenza tra quella mail e il contesto nel quale e per il quale utilizziamo quella casella, non sono in linea generale ma anche specifica, per esempio se considero lecito ricevere quella mail, è lecito riceverla ora? O me la sarei dovuta aspettare tra 2 o 3 mesi? Oppure, mi propone di fare qualcosa di diverso dalle modalità che tenuto fino ad ora per gestirla? La modalità in cui viene proposto di eseguire qualche operazione ricalca quella mantenuta fino a quel momento dal fornitore o cliente in questione? Se dovesse esserci qualcosa di diverso potrebbe trattarsi di un Phishing quindi è necessario verificare ulteriormente. 

•  Verificare l’effettivo indirizzo mail del mittente e non limitarci al nome leggiamo. Molto spesso quando riceviamo una mail, nel campo mittente non vediamo l'indirizzo di posta elettronica bensì il nome del mittente, mentre quest’ultimo può essere scelto liberamente, l’indirizzo mail lo può essere solo in parte e per questo può fornirci dei segnali di un tentativo di phishing. Se clicchiamo sul nome utente o ci posizioniamo sopra con il mouse, possiamo vedere alcune informazioni tra le quali anche l'effettiva casella di posta che ha inviato la mail. Prima di tutto bisogna fare attenzione al dominio, ovvero ciò che appare a destra della @. Deve essere il corretto dominio di posta dell’ente o azienda che il mittente sostiene di rappresentare, è possibile verificare andando sul sito Web, su mail precedenti o nei documenti ufficiali. In caso di Phishing il dominio può essere completamente diverso oppure molto ma molto simile, perché si può differenziare anche solamente per un singolo carattere, oltretutto scelto appositamente allo scopo di ingannare il colpo d’occhio dell’utente che va a verificare.  Per quanto riguarda invece il nome della casella, ovvero ciò che sta a sinistra della @, dato che può essere definito liberamente spesso contiene il nome preciso del dominio di posta dell’azienda per la quale l’hacker vuole spacciarsi, questa tecnica ha sempre lo scopo di ingannare il colpo d’occhio, sperando che l’utente confonda il nome casella per il dominio e consideri così attendibile l’indirizzo mittente. Per cui soffermarsi qualche secondo in più per leggere attentamente è fondamentale, sia per scongiurare i tentativi eclatanti quanto quelli più subdoli.

• Allegati compressi come .zip, .rar, .tar,.7zip. In molti attacchi il file eseguibile che cripta i dati viene nascosto all’interno di un archivio. Questa tecnica è stata inventata perché non tutti gli antispam sono in grado di verificarne la presenza al loro interno e quindi oltrepassano il controllo. Oltretutto è possibile fare in modo che con l’apertura dell’archivio da parte dell’utente venga lanciato automaticamente anche l’eseguibile al suo interno. Dopotutto chi riceve la mail è anche in dovere di gestirla e per verificare il contenuto dell’archivio, che può essere lecito, è necessario guardarci dentro. Se vi trovate in questo caso è necessario rivalutare quanto indicato al punto 1 e fare ulteriori verifiche telefoniche se no si è certi dell’ identità del mittente.

• In caso di presenza di un allegato, prima di aprirlo, verificare sempre l’effettiva estensione del file. Questo tipo di verifica è necessaria per scongiurare la presenza dei formati di file definiti pericolosi, perché appartenenti alla categoria degli “eseguibili” in quanto preposti appunto all’esecuzione di un software, qualunque sia. Essi sono .exe, .com,.pif,.bat,.scr,.cab,.msi,.js,.jar,.vb,.vbe. Anche in questo caso viene utilizzato un escamotage per ingannare l’occhio dell’utente sfruttando il fatto che spesso sul PC vi è un’impostazione che non visualizza il formato del file e che nel tempo tende ad essere dimenticata e trascurata. Quindi se il file del malware fosse “pippo.exe” vedrei solo “pippo” ma se fosse “pippo.jpg.exe”, vedrei solo “pippo.jpg” ovvero una bella immagine da ammirare, contornata da una mail che ti incuriosisce a guardarla. Basta posizionarsi con il cursore sull’ allegato senza cliccare, si aprirà una piccola finestra di dettaglio nella quale si potrà vedere l’estensione reale. Se dovesse apparire un formato tra quelli menzionati sopra non ponetevi nemmeno il dubbio di cancellare la mail.

• Se riceviamo una mail con un allegato di tipo documento Office, Open Office o pdf dobbiamo comunque stare molto attenti. La pericolosità di questi tipi di file è legata alla possibile presenza delle cosiddette “macro” al loro interno, componenti per loro natura lecite ma utilizzate per fini malevoli. Si tratta di contenuti non visibili che si occupano di eseguire dei comandi, come ad esempio il download del file malware vero e proprio da una pagina web maligna (es. Ransomware Locky). A prescindere dalla buona reputazione o meno del mittente è tassativo attivare sul PC il blocco dell’esecuzione delle macro di questo tipo di documenti, così facendo quando andremo ad aprire l’allegato ci verrà richiesto di consentirne o bloccarne l’esecuzione, naturalmente noi la dovremo sempre bloccare. In caso l’azienda nel contesto della sua attività debba necessariamente ricevere e/o scambiare dei file con macro, deve essere usato uno strumento diverso dalla posta elettronica, ad esempio un repository in cloud sicuro per la condivisione documentale. Sarebbe troppo pericoloso gestirli tramite mail perché calerebbe lo stato di allerta verso questo tipo di file.

• Allegati compressi protetti da password. Cancellare la mail senza alcun dubbio. La presenza della password serve per impedire i controlli a livello di antispam in grado di analizzare il contenuto dell’archivio alla ricerca di file eseguibili, è quindi il segnale di un tentativo malevolo.
• In altri casi il file eseguibile di cifratura risiede su una pagina web maligna e questa viene associata ad un link ipertestuale all’interno del corpo della mail, il click su questo link ne determina l’apertura e la conseguente esecuzione del codice di cifratura. Nel caso in cui la mail contenga un link è necessario posizionarsi sopra senza cliccare, in questo modo viene visualizzata l’effettiva pagina a cui si accede. L’indirizzo potrebbe anche essere molto lungo, l’importante è che ciò che è scritto a sinistra del primo “/” (senza considerare http://) corrisponda ad uno dei siti ufficiali del presunto mittente. Basta ricercarlo nel Web e verificare che il nome corrisponda. E’ necessario fare attenzione perché anche in questo caso vengono adottati degli escamotage per ingannare il colpo d’occhio di chi controlla ed un URL è più ostico da controllare rispetto un indirizzo di posta elettronica. Questa tecnica è nata perché si sono diffusi sistemi antispam in grado di bloccare anche le mail con allegati compressi protetti da password, quindi con questa ulteriore funzione le probabilità di portare a termine l’infezione tramite un allegato si sono ridotte troppo.  
• Infine, se purtroppo o per fortuna, ci rendiamo conto di aver mandato in esecuzione il Ransomware, dobbiamo spegnere, anche brutalmente, il PC. Questo serve ad interrompere la cifratura sia del PC che del resto della rete aziendale. A questo punto è possibile smontare il disco e tramite un altro PC copiare i file che non sono ancora stati criptati, dopodiché formattare e ricaricare quanto salvato oppure i file di backup.

Imparando a valutare tutti questi aspetti l’utente potrà efficacemente riconoscere le mail di Phishing che superano la prima barriera dell’antispam.

Se anche questo fallisce rimane solo la difesa antivirus e dobbiamo sperare che riconosca il malware, anche se, con le tecniche attuali è una garanzia debole.

L'ultima spiaggia è il backup, non siamo più in tema di prevenzione ma di ripristino,  le macchine e gli utenti possono ripartire perchè consente di effettuare il restore dei dati ma andremo a sostenere i costi di un incidente IT.

Proprio da queste ultime considerazioni si capisce quanto sia consigliato rafforzare al massimo la protezione antispam e la formazione utente, sono le strategie più vantaggiose sia dal punto di vista dell' efficacia che dei costi di implementazione.

Qui trovi un approfondimento completo su tutto quello che c’è da sapere sulla sicurezza informatica.

In questo articolo abbiamo parlato di Best Practices e per la prevenzione ti consiglio questa guida, nella quale potrai trovare tutte le funzioni e le caratteristiche che oggi non devono assolutamente mancare ad un antispam.