Phishing via PEC: nei giorni scorsi l'Agenzia delle Entrate ha messo in guardia i contribuenti dalla nuova forma di estorsione dati che sta imperversando sul web e che riguarda la fatturazione elettronica.
Sotto attacco le Pubbliche Amministrazioni, molti ordini professionali e numerose aziende.
Vediamo come riconoscere e in che modo possiamo difenderci dalle mail di phishing via PEC.
Una truffa ben congegnata
Il 14 ottobre l'Agenzia delle Entrate ha emesso un comunicato stampa con il quale ha allertato i cittadini, invitandoli a controllare con attenzione le PEC relative alla fatturazione elettronica.
Gli esperti dell'organo governativo raccomandano di cestinare tutte quelle missive provenienti da mittenti sconosciuti o che addirittura richiedono, in vista di comunicazioni future con il Sistema di Interscambio (SDL), di modificare il proprio indirizzo.
Allarmismo eccessivo?
Secondo i dati raccolti dagli esperti questa truffa in pochi giorni ha raggiunto numeri impressionanti. Nel giro di una settimana sono stati inviati circa 270.000 messaggi di phishing e ben 500 caselle PEC sono state compromesse.
Attenzione all'oggetto
La missiva che arriva ha come oggetto Invio File, dove al posto delle X compare una stringa composta da 10 cifre. Non desta nessun sospetto il testo della mail perché è stato ripreso integralmente da una precedente comunicazione (reale e legittima) inviata dal Sistema di Interscambio. Obiettivo di queste comunicazioni è la raccolta dei dati del malcapitato che saranno utilizzati in seguito dagli hacker per frodarlo. Le mail che arrivano realmente da parte del Sistema di interscambio recano due elementi fondamentali:
- Il mittente: nelle PEC legittime il mittente è solo ed esclusivamente del tipo sdiNN@pec.fatturapa.it. La sigla NN è un progressivo numerico a due cifre.
- Gli allegati: le mail inviate dal SDL devono contenere obbligatoriamente due allegati formulati in base alle specifiche relative alla Fatturazione Elettronica che è possibile reperire sul sito della Agenzia delle Entrate.
In assenza di queste due caratteristiche il messaggio deve essere cestinato.
Due dettagli in più
Dopo alcune settimane dalla diffusione capillare del Phishing via PEC, il CERT-PA ha rilevato una sostanziale evoluzione del malware.
In alcune mail si fa riferimento a un allegato specifico denominato ITYYYYYYYYYY_1bxpz.XML.p7m, del quale però non vi è traccia nel corpo della mail stessa.
Il trucco utilizzato è evidente: in mancanza dell'allegato si invita l'utente a rispondere (per qualsiasi comunicazione) a un indirizzo differente rispetto quello ufficiale.
Tale indirizzo corrisponderà a quello di una casella PEC compromessa e quindi in mano ai malintenzionati. Particolare attenzione va prestata anche al corpo della missiva che contiene il richiamo a una risorsa remota che punta a tale dominio: dreambabyyorkies[.]com. Le varianti non finiscono qui.
Secondo il CERT-PA, le mail sotto attacco assumono le funzioni di un ransomware che cifra i dati degli utenti e contemporaneamente assumono le funzioni di "info-stealer" ovvero delle specifiche funzionalità che vanno a "rubare" le credenziali degli ignari utenti, contenute nei software di uso comune come Chrome o Firefox ad esempio. Come difendersi Difendersi da questi malware è possibile, basta adottare delle semplici regole di sicurezza informatica:
- Leggere attentamente il mittente della mail, prima di aprire qualsiasi allegato o di cliccare su un eventuale link presente nel corpo della comunicazione.
- Spesso i messaggi di posta fraudolenta sono scritti in lingua straniera e poi tradotti in modo approssimativo quindi è necessario leggere con attenzione e diffidare di alcuni errori grossolani.
- Prima di cliccare il link è necessario controllare che l'indirizzo mostrato da questo è lo stesso della pagina dove si arriva. Per effettuare il controllo basta passare il mouse sul link e controllare quanto viene scritto nel client di posta.
- Un allegato ci sembra sospetto? in questo caso è buona norma non aprirlo affatto e, nel caso di documenti Office, disabilitare l'esecuzione delle macro.