Phishing: Alcuni consigli per non “abboccare”

Fin dalle prime apparizioni, risalenti al Settembre del 2013, i Cryptovirus continuano ad andare a segno, li chiamiamo Ransomware, Virus o minaccia ma qualunque appellativo vogliamo usare restano una calamità, in grado di produrre un disastro tale da mettere in seria difficoltà qualsiasi tipo di azienda.

Penso che ormai sappiate tutti di cosa stiamo parlando per cui sarò sintetico, tramite una falsa mail che tipicamente sembra arrivare da un fornitore di qualche servizio (es. Enel, Poste, Telecom, Vodafone, tanti altri), l’utente viene portato con modalità ingannevoli a lanciare l’esecuzione di un programma, che prima cifra tutti i dati del suo PC e poi quelli contenuti in tutti gli altri, server inclusi, che risultano raggiungibili tramite la rete locale dell’azienda.

Il risultato di tutto questo è che i file saranno ancora presenti, ma non utilizzabili, perché in quanto cifrati il contenuto non sarà più leggibile. Sono chiamati Ransomware dall’ inglese “riscatto” perché per poterli decifrare devi pagare una cifra in Bitcoin, poi se sei fortunato gli Hackers ti inviano la chiave necessaria per la decifratura.

Ormai non c’è nessuna esclusione, non solo i documenti Office e pdf ma anche disegni, database e posta elettronica, insomma, anche se di fatto i sistemi continuano a funzionare non abbiamo più a disposizione i dati, ci pensate?

L’inganno usato per portare l’utente ad avviare l’infezione prende il nome di Phishing e utilizza le tecniche del social engineering, che consistono nel usare aspetti e temi che possono aver a che fare con la vita privata o professionale della vittima per fare in modo che si fidi. Queste azioni possono ricondursi a cliccare un link per scaricare una fattura, aprire un allegato o inserire delle credenziali di accesso in una pagina web contraffatta, identica a quella originale.

Questo metodo non essendo fondamentalmente di natura tecnica lascia libero spazio alla fantasia  di utilizzarlo e le possibilità che possono creare sono infinite.

Ma possiamo proteggerci, come?

Essendo un attacco all’utente per prima cosa è necessario imparare a mettere in pratica alcune semplici attenzioni nell’ utilizzo della posta elettronica, non si tratta di acquisire capacità tecniche ma di un uso corretto.

Vediamo quali sono questi accorgimenti:

• Un utilizzo consapevole della posta elettronica non deve essere fatto di terrore, bensì di attenzione. Dobbiamo cercare di capire se la mail che abbiamo ricevuto è lecita oppure no, quindi le domande che dobbiamo porci sono: mi posso aspettare una mail di questo tipo? E’ normale che io la riceva ora? Quello che mi propongono di fare è diverso da come lo facevano nei casi precedenti? Deve esserci coerenza, un legame o un’attinenza tra quella mail e il contesto nel quale utilizziamo quella casella di posta.
• Verificare l’effettivo indirizzo mail del mittente e non limitarci al nome che leggiamo. Molto spesso quando riceviamo una mail, nel campo mittente non vediamo l'indirizzo di posta elettronica bensì il nome del mittente, mentre quest’ultimo può essere scelto liberamente, l’indirizzo mail lo può essere solo in parte e per questo può fornirci dei segnali di un tentativo di Phishing. Se clicchiamo sul nome utente o ci posizioniamo sopra con il mouse, possiamo vedere alcune informazioni tra le quali anche l'effettiva casella di posta che ha inviato la mail. Prima di tutto bisogna fare attenzione al dominio, ovvero ciò che appare a destra della @. Deve essere il corretto dominio di posta dell’ente o azienda che il mittente sostiene di rappresentare, è possibile verificare andando sul sito Web, su mail precedenti o nei documenti ufficiali. In caso di Phishing il dominio può essere completamente diverso oppure molto ma molto simile, perché si può differenziare anche solamente per un singolo carattere, oltretutto scelto appositamente allo scopo di ingannare il colpo d’occhio dell’utente che va a verificare. Per quanto riguarda invece il nome della casella, ovvero ciò che sta a sinistra della @, dato che può essere definito liberamente spesso contiene il nome preciso del dominio di posta dell’azienda per la quale l’hacker vuole spacciarsi, questa tecnica ha sempre lo scopo di ingannare il colpo d’occhio, sperando che l’utente confonda il nome casella per il dominio e consideri così attendibile l’indirizzo mittente. Per cui soffermarsi qualche secondo in più per leggere attentamente è fondamentale, sia per scongiurare i tentativi eclatanti quanto quelli più subdoli.

•  In caso di presenza di un allegato, prima di aprirlo, verificare sempre l’effettiva estensione del file. Questo tipo di verifica è necessaria per scongiurare la presenza dei formati di file definiti pericolosi perché appartenenti alla categoria degli “eseguibili”, in quanto preposti appunto all’esecuzione di un software. Essi sono .exe, .com,.pif,.bat,.scr,.cab,.msi,.js,.jar,.vb,.vbe. Anche in questo caso viene utilizzato un escamotage per ingannare l’occhio dell’utente sfruttando il fatto che spesso sul PC vi è un’impostazione che non visualizza il formato del file e che nel tempo tende ad essere dimenticata e trascurata. Quindi se il file del malware fosse “pippo.exe” si vedrebbe solo “pippo” ma se fosse “pippo.jpg.exe”, si vedrebbe “pippo.jpg” quindi in apparenza un’immagine, che sarà condita da un testo che di certo ti incuriosisce per guardarla. Basta posizionarsi con il cursore sull’ allegato senza cliccare, si aprirà una finestra di dettaglio nella quale si potrà vedere l’estensione reale. Se dovesse apparire un formato tra quelli menzionati sopra non ponetevi nemmeno il dubbio di cancellare la mail.

• Se riceviamo una mail con un allegato di tipo documento Office, Open Office o pdf dobbiamo comunque stare molto attenti. La pericolosità di questi tipi di file è legata alla possibile presenza delle cosiddette “macro” al loro interno, componenti per loro natura lecite ma utilizzate per fini malevoli. Si tratta di contenuti non visibili che si occupano di eseguire dei comandi, come ad esempio il download del file malware vero e proprio da una pagina web maligna (es. Ransomware Locky). A prescindere dalla buona reputazione o meno del mittente è tassativo attivare sul PC il blocco dell’esecuzione delle macro di questo tipo di documenti, così facendo quando andremo ad aprire l’allegato ci verrà richiesto di consentirne o bloccarne l’esecuzione, naturalmente noi la dovremo sempre bloccare. In caso l’azienda nel contesto della sua attività debba necessariamente ricevere e/o scambiare dei file con macro, deve essere usato uno strumento diverso dalla posta elettronica, ad esempio un repository in cloud sicuro per la condivisione documentale. Sarebbe troppo pericoloso gestirli tramite mail perché calerebbe lo stato di allerta verso questo tipo di contenuto nei file.

• Allegati compressi come .zip, .rar, .tar,.7zip. In molti attacchi il file eseguibile che cripta i dati viene nascosto all’interno di un archivio perché non tutti gli antispam sono in grado di verificarne la presenza al suo interno. Oltretutto è possibile fare in modo che con l’apertura dell’archivio da parte dell’utente venga lanciato automaticamente anche l’eseguibile al suo interno. Dopotutto chi riceve la mail è anche in dovere di gestirla e per farlo è necessario guardarci dentro. Se vi trovate in questo caso è necessario rivalutare quanto indicato al punto 1 e fare ulteriori verifiche telefoniche se non si è certi della reputazione del mittente.

• Allegati compressi protetti da password. Cancellare la mail senza alcun dubbio. La presenza della password serve per eludere i controlli a livello di antispam in grado di analizzare il contenuto dell’archivio alla ricerca di file eseguibili, è quindi il segnale di un tentativo malevolo.

• In altri casi il file eseguibile di cifratura risiede su una pagina web maligna e questa viene associata ad un link ipertestuale all’interno del corpo della mail, il click su questo link ne determina l’apertura e la conseguente esecuzione del codice di cifratura. Nel caso in cui la mail contenga un link è necessario posizionarsi sopra senza cliccare, in questo modo viene visualizzata l’effettiva pagina a cui si accede. L’indirizzo potrebbe anche essere molto lungo, l’importante è che ciò che è scritto a sinistra del primo “/” (senza considerare http://) corrisponda ad uno dei siti ufficiali del presunto mittente. Basta ricercarlo nel Web e verificare che il nome corrisponda. E’ necessario fare attenzione perché anche in questo caso vengono adottati degli escamotage per ingannare il colpo d’occhio di chi controlla ed un URL è più ostico da controllare rispetto un indirizzo di posta elettronica. Questa tecnica è nata perché si sono diffusi sistemi antispam in grado di bloccare anche le mail con allegati compressi protetti da password, quindi con questa ulteriore funzione le probabilità di portare a termine l’infezione tramite un allegato si sono ridotte troppo.

Mettendo in pratica queste attenzioni è possibile scongiurare molti più attacchi di quello che pensate, tuttavia non possiamo nemmeno ignorare l'errore umano perchè come sappiamo è sempre dietro l'angolo.

A questo scopo ti consiglio questa guida, ti spiega nel dettaglio tutte le caratteristiche e funzionalità di controllo della posta elettronica che oggi non possono mancare ad un antispam, perchè sono necessarie e come valutarne l'efficacia.