Articoli

Attacchi phishing allo SPID: i consigli per proteggere la propria identità digitale pubblica

Nelle ultime settimane l’utilizzo dello SPID (Sistema Pubblico di Identità Digitale) è divenuto sempre più popolare tra gli italiani anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi: purtroppo, però, la popolarità del sistema SPID ha inevitabilmente attratto l’attenzione del crimine informatico e infatti si assiste ad un aumento delle campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.

Le campagne ai danni di Poste Italiane

Già in novembre, l’Agenzia per l’Italia Digitale (AGID) ha messo in guardia i cittadini circa i preparativi per una campagna di malware via SMS che prendeva di mira i cittadini che avevano già attivo lo SPID con Poste Italiane.

Al tempo, gli attaccanti avevano registrato il dominio “aggiornamento-spid.com” raggiungibile solo attraverso dispositivi mobili, che riproduceva la pagina di login di Poste Italiane. L’intento era quello di collezionare le credenziali degli utenti mobili di Poste attraverso una campagna di phishing via SMS.

Fortunatamente la campagna fu stroncata sul nascere grazie agli esperti dell’azienda D3Lab che avevano individuato il dominio sospetto prima che gli attori malevoli lo rendessero operativo.
Poco più di due mesi dopo, il CERT-AGID ha diramato un nuovo alert circa una nuova campagna di phishing che prende di mira gli utenti di Poste Italiane ed utilizza lo SPID come esca.

I messaggi utilizzano come oggetto:
Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020

mentre il corpo dell’e-mail recita:
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.

L’email notifica alle potenziali vittime una modifica delle condizioni generali del servizio SPID e le invita ad accedere ad un link riportato nel testo minacciando il blocco della carta PostePay.
Una volta cliccato sul link, l’utente è indirizzato, dopo alcune ridirezioni, ad una pagina che appare come una copia esatta di una pagina di login del sito di Poste.

“Si invita pertanto a non seguire il link e soprattutto a non inserire credenziali all’interno di form ospitati su domini non ufficiali”, raccomanda l’avviso pubblicato dal CERT AGID.

I domini fraudolenti utilizzati in questa campagna di phishing individuati dagli esperti del CERT AGID sono:
• “http://mundpdeportivo.for-our[.]info/”
• “http://default-page-poste.is-certified[.]com/serv-cliente/a1b2c3/30edaf01b08cb9fdd9d1171efec2e3e7/login/”,
• “http://default-page-poste.is-certified[.]com/”
• “http://ftr-postepay-cl-fcc.is-certified[.]com/”

I rischi

Con l’incremento del numero di servizi che offrono la possibilità di autenticazione SPID aumenteranno le campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Questi attacchi possono avere diverse finalità, dalla collezione di informazioni sugli ignari utenti alla distribuzione di codici malevoli sviluppati per rubare dati sensibili come credenziali di accesso ai servizi di home banking.

Gli attacchi potrebbero anche consentire ai criminali informatici di rubare le credenziali SPID previste dal primo livello di sicurezza e di impersonare le vittime. Si ricordi infatti che lo SPID offre tre livelli di sicurezza per l’accesso, ovvero:
• il primo livello attraverso un nome utente e una password scelti dall’utente;
• il secondo livello attraverso nome utente e password più un codice temporaneo di accesso fornito tramite SMS o app;
• il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione, come una smart card.

Nei prossimi mesi, le campagne potrebbero avere carattere interazionale: ricordiamo, infatti, che il sistema SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014. I cittadini europei in possesso dell’identità SPID potranno utilizzarla per autenticarsi verso i servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea. Non solo, anche servizi gestiti da soggetti privati potranno implementare un meccanismo di autenticazione attraverso SPID.

I consigli per difendersi

Per proteggere lo SPID dagli attacchi phishing ed evitare di rimanere vittima di queste campagne malevoli è raccomandato di non cliccare su link contenuti in messaggi non sollecitati che invitano l’utente ad una azione, come premere su un link o aprire un allegato, con carattere d’urgenza.

Fare attenzione all’indirizzo delle pagine sulle quali si inseriscono le proprie credenziali, verificare che i domini siano quelli legittimi non facendosi ingannare dalla eventuale presenza del lucchetto nella barra degli indirizzi.

Sono infatti in aumento campagne di phishing che utilizzano siti HTTPs per mostrare alle vittime pagine disegnate per collezionare le loro credenziali.

 

Fonte: CyberSecurity360

Fine supporto a Windows 7, rischio ransomware per i PC aziendali: i consigli per metterli in sicurezza

Sono ancora centinaia di milioni i PC con Windows 7 che, dallo scorso 14 gennaio, non potranno più essere aggiornati in quanto Microsoft ha interrotto il supporto ufficiale al suo sistema operativo. Ecco come mettere in sicurezza (almeno momentaneamente) i sistemi aziendali anche senza cambiare l’hardware o aggiornarli a Windows 10

Dallo scorso 14 gennaio 2020 Microsoft ha posto fine al supporto tecnico a Windows 7, una delle versioni del sistema operativo più diffuse e ancora molto utilizzata soprattutto in ambito aziendale e nelle grandi organizzazioni pubbliche e private.

Questo significa che non saranno più rilasciati aggiornamenti sia per i sistemi client Windows 7 sia per le versioni Windows Server 2008 e Windows Server 2008 R2, che di conseguenza risulteranno maggiormente vulnerabili ad attacchi informatici, soprattutto quelli condotti mediante ransomware.

Cosa succede ora?

La fine del supporto tecnico conclude così il ciclo di vita di Windows 7 che, come già anticipato da Microsoft al momento del rilascio il 22 ottobre 2009, era stato fissato a 10 anni (analogamente a tutti gli altri sistemi operativi).

È bene precisare, a scanso di equivoci, che Windows 7 non smetterà di funzionare, né tantomeno le sue funzionalità verranno limitate: semmai potrebbe venir meno la compatibilità di molte applicazioni di uso comune in quanto le software house potrebbero, a loro volta, interrompere lo sviluppo di driver e librerie specifiche per Windows 7.

Google, ad esempio, fa sapere che per il momento continuerà a supportare Chrome su Windows 7 per almeno altri 18 mesi, fino al 15 luglio 2021, dopo i quali smetterà di testare il suo browser perché diventerebbe troppo costoso tenendo conto che servirà a sempre meno utenti.

Anche per questo, le macchine su cui è ancora installata questa versione ormai obsoleta del sistema operativo potrebbero diventare facili obiettivi per i criminal hacker.

La buona notizia è che l’antivirus integrato in Windows 7, Microsoft Security Essentials, continuerà per il momento a ricevere gli aggiornamenti con le nuove definizioni antivirali anche se il motore per la scansione di nuovi virus non verrà più migliorato e potenziato.

Le soluzioni

Alla luce di quanto detto finora, qualora fossimo di fatto obbligati o decidessimo di continuare ad utilizzare Windows 7 è dunque opportuno prendere le dovute precauzioni mettendo in pratica alcune soluzioni che possono comunque tornare utili anche a tutti gli utenti delle altre versioni del sistema operativo.

Il primo consiglio è quello di sostituire al più presto i dispositivi non supportati, a spostare i dati sensibili su un dispositivo supportato e a non utilizzare le vecchie macchine con Windows 7 per attività online come l’accesso a conti bancari o ad altri account sensibili.

Per rimanere alla larga da malware e qualsiasi altra minaccia è anche altamente consigliato stare alla larga da siti Web non attendibili o insicuri come quelli che distribuiscono materiale gratuito, pirata o “per adulti”. Senza dire che siti Web attendibili (come quello della nostra banca) potrebbero da un momento all’altro impedirci l’accesso all’home banking perché troppo rischioso se effettuato utilizzando Windows 7.

L’utilizzo di un buon software antivirus o di un firewall è una valida soluzione per ridurre al minimo il rischio di un attacco informatico, ma come già detto per i browser e le altre applicazioni, anche i produttori di questi software potrebbero decidere di interromperne lo sviluppo lasciandoci di fatto con il fianco scoperto alle nuove minacce.

Qualora decidessimo di continuare ad utilizzare Windows 7, dovremmo alzare il nostro livello di attenzione ogniqualvolta riceviamo un’e-mail sospetta, ricordandoci di non cliccare mai sugli allegati ricevuti da utenti sconosciuti per evitare di rimanere vittime del phishing.

La miglior difesa contro un attacco ransomware, invece, è avere un backup di tutti i file più importanti conservato su dischi rigidi esterni o su un qualche account sul cloud. Dobbiamo quindi ricordarci di effettuare backup giornalieri su dispositivi di memorizzazione che non siano altrimenti collegati al nostro PC, così come potrebbe essere una buona idea tenere anche sempre a portata di mano un’immagine del disco corrente. Entrambe le soluzioni potrebbero risparmiarci il pagamento del riscatto (che tra l’altro è un’azione da mettere in pratica solo in casi estremi) per rientrare in possesso dei nostri documenti: basta infatti formattare l’unità disco infetta e ripristinare il sistema dalla copia di backup.

Aggiornamento da Windows 7 a Windows 10

C’è da dire, comunque, che l’utilizzo di una copia di Windows 7 non più aggiornata non può rappresentare una valida soluzione a lungo termine. E soprattutto è una pessima idea se messa in pratica in ambito aziendale e produttivo.

Il modo più semplice per mettere in sicurezza il patrimonio informativo aziendale è chiaramente quello di sostituire tutto il parco macchine su cui è installato Windows 7. In questo caso, però, soprattutto nelle PMI, potrebbe sorgere il problema di reperire i fondi necessari per procedere all’acquisto dei nuovi PC o dei nuovi server.

La soluzione alternativa, qualora la configurazione hardware delle macchine fosse sufficiente a “far girare” senza intoppi un nuovo sistema operativo, potrebbe essere quella di effettuare l’upgrade da Windows 7 a Windows 10. In questo caso, ovviamente, occorre avere una licenza valida per installare il nuovo sistema operativo (è possibile acquistare una copia sullo store Microsoft).

Per verificare la fattibilità di un aggiornamento, è utile consultare la pagina Microsoft in cui sono elencate le specifiche e i requisiti di sistema dei computer Windows 10. Qualora fosse possibile procedere con l’upgrade, ricordiamoci di effettuare prima un backup di tutti i nostri dati più importanti: la procedura di aggiornamento a Windows 10 è “conservativa”, ma in certi casi la prudenza non è mai troppa.

Così come è importante verificare anche la compatibilità delle applicazioni che vengono utilizzate quotidianamente per lavoro: il rischio di ritrovarci, ad esempio, con il gestionale inutilizzabile non è poi così raro. Meglio effettuare prima una semplice telefonata allo sviluppatore per chiedere la disponibilità di una eventuale versione di aggiornamento.

Effettuate tutte le verifiche del caso e completato il backup dei dati, possiamo finalmente procedere con l’aggiornamento a Windows 10. In questa procedura ci torna utile l’apposito strumento di installazione del sistema operativo scaricabile gratuitamente dal sito Microsoft. Ecco come utilizzarlo:

1. colleghiamoci alla pagina Web Scarica Windows 10 e clicchiamo sul pulsante Scarica ora lo strumento;
2. selezioniamo Esegui e verifichiamo di utilizzare lo strumento con permessi di amministratore;
3. nella pagina Condizioni di licenza selezioniamo Accetta per accettare le condizioni d’uso dello strumento;
4. in Scegliere l’operazione da effettuare selezioniamo Aggiorna il PC ora e clicchiamo su Avanti;
5. dopo il download e l’installazione, questo strumento mostrerà a video i passaggi necessari per configurare Windows 10 sul PC. È importante sottolineare che sono disponibili tutte le edizioni di Windows 10 ad eccezione della versione Enterprise;
6. una volta che Windows 10 è pronto per l’installazione, verranno visualizzati un riepilogo delle opzioni scelte e un elenco di tutto ciò che sarà mantenuto con l’aggiornamento. Selezioniamo Cambia elementi da mantenere per scegliere tra le opzioni Mantieni i file e le app personali, Mantieni solo i file personali e Niente durante l’aggiornamento;
7. salviamo i documenti su cui stavamo lavorando, chiudi tutte le finestre delle applicazioni aperte e clicchiamo su Installa;
8. la procedura di installazione di Windows 10 potrebbe richiedere qualche minuto. Durante il processo il PC verrà riavviato più volte, ma non bisogna mai spegnerlo.

Al termine dell’installazione, per verificare che tutto sia andato per il verso giusto, possiamo verificare l’effettiva attivazione della licenza di Windows 10 accedendo al menu Impostazioni/Aggiornamento e sicurezza/Attivazione.

 

Fonte: CyberSecurity360

Phishing via PEC, la nuova truffa delle finte fatture elettroniche: i consigli per difendersi

I criminal hacker hanno avviato una nuova campagna di phishing via PEC per colpire le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali. Ecco i dettagli tecnici e i consigli per difendersi

Una massiccia campagna di phishing via PEC sta colpendo negli ultimi giorni le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali. Come successo già in passato, ad esempio per la diffusione del ransomware FTCODE, le e-mail malevoli vengono veicolate mediante altri indirizzi PEC già compromessi in passato.

Phishing via PEC: i dettagli della truffa

Le e-mail malevoli sono riconoscibili perché hanno il seguente oggetto:
Invio File <XXXXXXXXXX>
dove, al posto delle X compare una stringa casuale composta da 10 cifre. Il testo dei messaggi di posta elettronica certificata fraudolenti fa riferimento, inoltre, ad un allegato firmato digitalmente:
ITYYYYYYYYYY_1bxpz.XML.p7m
ma che in realtà non è presente all’interno dell’e-mail. La mancanza dell’allegato differenzia questa nuova truffa dai precedenti attacchi alle caselle PEC utilizzati per diffondere malware di ogni genere: oltre al ransomware FTCODE già menzionato prima, ricordiamo anche gli attacchi coi malware sLoad, Gootkit e DanaBot.

Secondo gli analisti del CERT-PA che hanno rilevato l’esistenza della nuova campagna malevola, siamo dunque di fronte ad un vero e proprio attacco di tipo phishing mirato alla raccolta di informazioni riservate ai danni delle vittime. Ciò lascerebbe supporre che i criminal hacker stiano preparando il campo per un successivo attacco mirato ai danni di target ben definiti.
Il testo del messaggio malevolo veicolato mediante questa nuova tipologia di phishing viene infatti utilizzato per comunicare un “nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio”.

Dall’analisi dell’e-mail, però, viene fuori che tale indirizzo coincide sempre con il mittente della casella di posta elettronica certificata compromessa e controllata dall’attaccante. In particolare, il CERT-PA ha scoperto che:
• il display name del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
• il mittente effettivo è una casella PEC di una società italiana;
e che i phisher hanno clonato una comunicazione PEC lecita emessa a inizio mese da Sogei contestualmente all’attivazione del Sistema di Interscambio.

La truffa, ben congeniata, serve dunque ai criminal hacker per indurre le potenziali vittime del phishing a inviare le future fatture elettronica al nuovo indirizzo del Sistema di interscambio; ma così facendo non fanno altro che “regalare” agli attaccanti i loro dati riservati.
Come se non bastasse, all’interno del messaggio di testo è nascosto un efficiente sistema di tracciamento che, abilitandosi all’apertura della mail e puntando al dominio “pattayajcb[.]com”, consente di monitorare le attività delle vittime.

Come difendersi dalla nuova truffa

Secondo i dati raccolti dal CERT-PA in collaborazione con i gestori PEC, i criminal hacker sarebbero riusciti a sfruttare circa 500 account PEC compromesse per inviare un totale di 265.000 messaggi di phishing nell’ultima settimana.
Il consiglio per difendersi da questa nuova campagna malevola è ovviamente quello di ignorare e cancellare eventuali e-mail PEC provenienti da utenze non riconosciute e che, ovviamente, comunicano un nuovo indirizzo per il recapito delle fatture elettroniche al Sistema di Interscambio.

È utile, inoltre, seguire alcune semplici regole di sicurezza informatica:
• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
• evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.