Articoli

Attacchi phishing allo SPID: i consigli per proteggere la propria identità digitale pubblica

Nelle ultime settimane l’utilizzo dello SPID (Sistema Pubblico di Identità Digitale) è divenuto sempre più popolare tra gli italiani anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi: purtroppo, però, la popolarità del sistema SPID ha inevitabilmente attratto l’attenzione del crimine informatico e infatti si assiste ad un aumento delle campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.

Le campagne ai danni di Poste Italiane

Già in novembre, l’Agenzia per l’Italia Digitale (AGID) ha messo in guardia i cittadini circa i preparativi per una campagna di malware via SMS che prendeva di mira i cittadini che avevano già attivo lo SPID con Poste Italiane.

Al tempo, gli attaccanti avevano registrato il dominio “aggiornamento-spid.com” raggiungibile solo attraverso dispositivi mobili, che riproduceva la pagina di login di Poste Italiane. L’intento era quello di collezionare le credenziali degli utenti mobili di Poste attraverso una campagna di phishing via SMS.

Fortunatamente la campagna fu stroncata sul nascere grazie agli esperti dell’azienda D3Lab che avevano individuato il dominio sospetto prima che gli attori malevoli lo rendessero operativo.
Poco più di due mesi dopo, il CERT-AGID ha diramato un nuovo alert circa una nuova campagna di phishing che prende di mira gli utenti di Poste Italiane ed utilizza lo SPID come esca.

I messaggi utilizzano come oggetto:
Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020

mentre il corpo dell’e-mail recita:
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.

L’email notifica alle potenziali vittime una modifica delle condizioni generali del servizio SPID e le invita ad accedere ad un link riportato nel testo minacciando il blocco della carta PostePay.
Una volta cliccato sul link, l’utente è indirizzato, dopo alcune ridirezioni, ad una pagina che appare come una copia esatta di una pagina di login del sito di Poste.

“Si invita pertanto a non seguire il link e soprattutto a non inserire credenziali all’interno di form ospitati su domini non ufficiali”, raccomanda l’avviso pubblicato dal CERT AGID.

I domini fraudolenti utilizzati in questa campagna di phishing individuati dagli esperti del CERT AGID sono:
• “http://mundpdeportivo.for-our[.]info/”
• “http://default-page-poste.is-certified[.]com/serv-cliente/a1b2c3/30edaf01b08cb9fdd9d1171efec2e3e7/login/”,
• “http://default-page-poste.is-certified[.]com/”
• “http://ftr-postepay-cl-fcc.is-certified[.]com/”

I rischi

Con l’incremento del numero di servizi che offrono la possibilità di autenticazione SPID aumenteranno le campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Questi attacchi possono avere diverse finalità, dalla collezione di informazioni sugli ignari utenti alla distribuzione di codici malevoli sviluppati per rubare dati sensibili come credenziali di accesso ai servizi di home banking.

Gli attacchi potrebbero anche consentire ai criminali informatici di rubare le credenziali SPID previste dal primo livello di sicurezza e di impersonare le vittime. Si ricordi infatti che lo SPID offre tre livelli di sicurezza per l’accesso, ovvero:
• il primo livello attraverso un nome utente e una password scelti dall’utente;
• il secondo livello attraverso nome utente e password più un codice temporaneo di accesso fornito tramite SMS o app;
• il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione, come una smart card.

Nei prossimi mesi, le campagne potrebbero avere carattere interazionale: ricordiamo, infatti, che il sistema SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014. I cittadini europei in possesso dell’identità SPID potranno utilizzarla per autenticarsi verso i servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea. Non solo, anche servizi gestiti da soggetti privati potranno implementare un meccanismo di autenticazione attraverso SPID.

I consigli per difendersi

Per proteggere lo SPID dagli attacchi phishing ed evitare di rimanere vittima di queste campagne malevoli è raccomandato di non cliccare su link contenuti in messaggi non sollecitati che invitano l’utente ad una azione, come premere su un link o aprire un allegato, con carattere d’urgenza.

Fare attenzione all’indirizzo delle pagine sulle quali si inseriscono le proprie credenziali, verificare che i domini siano quelli legittimi non facendosi ingannare dalla eventuale presenza del lucchetto nella barra degli indirizzi.

Sono infatti in aumento campagne di phishing che utilizzano siti HTTPs per mostrare alle vittime pagine disegnate per collezionare le loro credenziali.

 

Fonte: CyberSecurity360

Phishing a tema bonus bici contro lo SPID di Poste Italiane, la truffa del finto sms per rubare dati

È in atto una truffa di tipo phishing contro lo SPID di Poste Italiane: le esche utilizzate sono un’e-mail o un SMS che invitano le ignare vittime a collegarsi al proprio account per aggiornare l’app PosteID necessaria alla gestione della propria identità elettronica. L’obiettivo dei criminal hacker è, ovviamente, quello di rubare informazioni riservate e denaro.

Phishing contro lo SPID di Poste Italiane: l’esca del bonus bici

Come sempre accade nei casi di intenso traffico Internet degli utenti verso siti di particolare interesse, i malintenzionati digitali tendono a sfruttarli per trarne profitto: è questo il caso del Click Day per il bonus bici che ha polarizzato l’attenzione dei potenziali interessati ad accaparrarsi il bonus di 500 euro per l’acquisto di biciclette e monopattini.

Poiché l’accesso alla procedura di rilascio del bonus avveniva anche mediante identità SPID ottenuta dal sito di Poste Italiane, i criminal hacker hanno registrato a partire dal 6 ottobre scorso un dominio malevolo appositamente denominato aggiornamento-spid[.]com.

Attualmente il dominio fake è stato segnalato come malevolo e inserito fra gli Indicatori di compromissione (IoC) affinché sia prontamente inserito in blacklist nei sistemi che tutelano la sicurezza informatica. Se si cerca di raggiungere questo sito, i browser Chrome, Edge e Firefox lo segnalano già come sito ingannevole mediante un chiaro avviso su sfondo rosso visibile nella figura sottostante. Invece, i browser da mobile non lo riconoscono e dunque gli utenti che lo dovessero accedere da dispositivo mobile, si troverebbero davanti una pagina perfettamente similare a quella lecita. Quest’ultimo elemento ha fornito l’indicazione di come sia probabile l’organizzazione di una vasta campagna phishing via e-mail che utilizzerà il mezzo dell’SMS per invitare gli utenti ad aggiornare le credenziali SPID mediante il link malevolo verso il sito fake tentando di mietere vittime.

In questi giorni, inoltre, circola anche una e-mail inviata dai sistemi automatici di Poste Italiane dall’indirizzo info@posteid.poste.it che invita ad aggiornare l’app di PosteID fornendo i link per Android ed Apple, fornendo come motivazione la dismissione della vecchia versione dell’app al 22 ottobre. La contemporaneità con la campagna fake su SPID deve destare sospetto in chiunque riceva la mail, perché sebbene i link appaiano come leciti rimandando all’app Play Store, si consiglia di effettuare gli aggiornamenti sempre e solo direttamente dagli store ufficiali di Android e Apple direttamente dal cellulare senza seguire link ricevuti, perché per quanto appaiano ben formati, possono nascondere chiamate a malware e contenere codice malevolo. Un’altra verifica da fare è controllare l’ultimo aggiornamento effettuato dal device mobile direttamente dall’app Play Store in corrispondenza dell’app PosteID verificando la data effettiva dell’ultimo aggiornamento. In caso di necessità, si consiglia di procedere solo dallo store per scaricare l’ultima versione.

Questa tattica ormai datata consente agli hacker di eludere i tradizionali strumenti di sicurezza della posta elettronica per far sì che gli utenti clicchino su un link dannoso e inseriscano le proprie credenziali.

I consigli per difendersi dalla truffa

Chiunque riceva un SMS o un’e-mail acceduta da mobile, che inviti a cliccare la pagina SPID al fine di autenticarsi per accedere al bonus bici dovrebbe cestinare immediatamente il messaggio. Il sito di Poste Italiane non menziona la specifica occorrenza di una probabile campagna di phishing: tuttavia, nella sua pagina dedicata al contrasto delle truffe digitali, unitamente ad una serie di indicazioni per la difesa, chiede di segnalare i tentativi di phishing che possono riguardare l’azienda Poste Italiane al sito antiphishing@posteitaliane.it.

In Italia il phishing viene fatto ancora prevalentemente tramite e-mail con link che puntano a siti falsi, simili a quello originale, con un URL simile oppure che differisce per comuni errori di battitura nell’indirizzo, per poter raccogliere anche chi digita l’indirizzo errato direttamente nel browser. Anche nel caso dell’attuale truffa phishing ai danni dello SPID di Poste Italiane, “aggiornamento-spid[.]com” rappresenta una variante rispetto allo standard, un sito creato simile a quello di Poste Italiane ma con un URL che risponde a un preciso bisogno del momento, legato a chi effettua ricerche per il malfunzionamento dello SPID di Poste Italiane durante il click day per il bonus mobilità oppure come dichiarato dal ministero per essere veicolato tramite e-mail ed SMS, un fenomeno che in Italia non è ancora usato frequentemente, ma che sicuramente appare in crescita.

Fortunatamente le banche hanno fatto passi enormi in termini di awareness comunicando con ogni mezzo ai propri clienti che mai un link o una richiesta di cambio dati o password sarà inviata via e-mail o SMS, ma molti si rifiutano di leggere con attenzione tali raccomandazioni con le conseguenze che conosciamo, ovvero di essere tratti in inganno, infettati e spesso derubati.

Si suggerisce di adottare strumenti appositi per il contrasto delle minacce su mobile device e contro il phishing via SMS, il cosiddetto smishing. In generale, tuttavia, alcune buone norme di comportamento per proteggersi dal phishing via e-mail ed SMS consistono in:

1. Conoscere i campanelli d’allarme. Ci sono alcune caratteristiche che possono indicare di essere vittima di un attacco attraverso un’e-mail. Alcuni campanelli d’allarme sono: scarsa formattazione, errori di ortografia e grammatica e saluti generici, come “caro utente” o “caro cliente”. È necessario assicurarsi che i link partano da https:// e non da http://. Non ci si deve fidare mai dei messaggi urgenti o allarmanti. Per gli SMS, di solito le banche e altre organizzazioni non inseriscono link direttamente nel messaggio, ma lo usano solo come notifica.

2. Non rivelare troppe informazioni. Come regola generale, bisogna condividere il minimo indispensabile, indipendentemente dal sito in cui ci si trova. Le aziende non hanno mai bisogno del codice fiscale o della data di nascita dei clienti per fare affari con loro. Quindi non si devono fornire mai le proprie credenziali a terzi.

3. Cancellare le e-mail sospette. È buona norma cancellare le e-mail sospette senza aprirle e senza cliccare su alcun link, oppure inoltrarle al reparto IT per le indagini.

4. Non cliccare sugli allegati. Non è consigliabile aprire gli allegati di queste e-mail sospette o strane ed in particolare gli allegati Word, Excel, PowerPoint o PDF.

5. Verificare il mittente. Per ogni e-mail che si riceve, è buona norma verificare chi la stia inviando. Chi o cosa è la fonte dell’e-mail? Ci sono errori di ortografia nel dominio e-mail? Controllare se ci sono errori di ortografia o alterazioni negli indirizzi e-mail del mittente. Non si deve esitare a bloccare i mittenti sospetti tramite il proprio client di posta elettronica. Per gli SMS si deve prestare più attenzione perché far apparire che un SMS sia stato inviato da una banca o altra organizzazione è veramente molto semplice. Quindi se non ci si aspetta l’SMS e se ne riceve uno con un link, è opportuno non cliccare.

6. Mantenere aggiornati i propri dispositivi. Come regola d’oro ci si deve assicurare che tutte le proprie applicazioni, sul proprio telefono cellulare e sul computer desktop, siano aggiornate alle ultime versioni del software. Queste versioni hanno le ultime patch di vulnerabilità e le ultime difese per mantenere il device al sicuro. L’utilizzo di software obsoleti può lasciare delle porte aperte agli hacker per accedere alle informazioni personali.

 

Fonte: AziendaDigitale

Fake ebook, finti e-shop e farmacie abusive, la dark economy cresce col Covid-19

Il periodo che stiamo ormai vivendo tutti da oltre un mese è stato caratterizzato – dal punto di vista della cyber security – da un’impennata degli attacchi a tema coronavirus.

Dalle e-mail di phishing, diffuse in maniera sempre più massiccia a causa del ritorno delle botnet, ai malware nascosti all’intero delle app per il tracciamento del contagio, sembra proprio che l’argomento pandemia sia diventata la leva privilegiata dai criminal hacker. E non mancano le novità tra le “esche” utilizzate.

Il caso dei falsi ebook

Di sicuro ai criminal hacker non manca la creatività. Nell’ultimo mese in tutto il mondo sono state scoperte alcune campagne di phishing e malspam a dir poco peculiari.

Qualche settimana fa l’Organizzazione Mondiale della Sanità (OMS), già vittima di alcuni attacchi, era stata utilizzata nuovamente come esca. Questa volta il nome dell’organizzazione veniva speso per ingannare le vittime a scaricare un falso ebook che conteneva un infostealer.

Al destinatario della mail di phishing veniva richiesto di scaricare il falso ebook, chiamato “My-Health”, dal file ZIP allegato. Tuttavia, l’archivio compresso conteneva al suo interno solo il downloader VB6 GuLoader, che a sua volta attivava il trojan di infostealing FormBook.

Il payload GuLoader è una minaccia di recente sviluppo, il cui scopo è di scaricare e installare il componente finale del malware recuperandolo da Google Drive.

Il malware tenterà quindi di rubare i dati delle vittime, per esempio le credenziali memorizzate nei browser e in altre applicazioni prima di esfiltrarle nel server di comando e controllo gestito dai criminal hacker.

Tra le varie campagne che impersonano l’OMS, al momento questa è stata probabilmente la più convincente, per sofisticazione e modalità di esecuzione e, sulla base dei dati raccolti da numerosi ricercatori, ha avuto un’ampia distribuzione nel mondo.

GuLoader è un file eseguibile portatile (PE) che viene spesso osservato nascosto in un file di archiviazione come gli .iso o i .rar. È utilizzato principalmente per scaricare trojan di accesso remoto (RAT) e infostealer come Tesla/Origin Logger, FormBook, NanoCore RAT, Netwire RAT, Remcos RAT, Ave Maria/Warzone RAT e Parallax RAT.

L’e-mail creata ad hoc per diffondere il finto e-book è sicuramente visivamente accattivante, ma presenta abbastanza indizi che indicano all’utente che non è legittima, tra cui la sillabazione errata del nome come Corona-virus, strani usi di lettere maiuscole e qualche lacuna grammaticale.

Formbook, il trojan scaricato in questa campagna, è uno dei più popolari infostealer in circolazione al momento, grazie alla sua semplicità e alla sua vasta gamma di funzionalità, tra cui il keylogging e il furto di dati dai browser.

Ovviamente da parte sua, prevedendo tali attacchi, il mese scorso l’OMS è corsa ai ripari e ha avvertito che gli utenti devono verificare l’autenticità delle persone o delle organizzazioni che li contattano per conto dell’OMS.

Nell’avviso, tra le altre cose, l’OMS ha assicurato che non chiederà mai il nome utente o la password per accedere alle informazioni sulla sicurezza, non invierà mai allegati e-mail non richiesti, non chiederà mai di visitare un link al di fuori di www.who.int, non farà mai pagare per fare domanda di lavoro, per registrarsi a una conferenza o per prenotare un hotel e non condurrà mai lotterie o offrirà premi, sovvenzioni, certificati o finanziamenti tramite e-mail.

Attenti a finti e-shop e farmacie abusive

Sulla stessa falsariga della truffa legata ai finti ebook, stiamo anche assistendo a una vera e propria esplosione di segnalazioni di siti web di e-commerce fasulli che spuntano all’improvviso.

Il New York Times, per esempio, ha analizzato le registrazioni di nuovi siti presso la società Shopify, che permette a chiunque abbia un indirizzo e-mail e una carta di credito di creare siti web di vendita al dettaglio in breve tempo. L’azienda, che in passato ha contribuito a costruire siti di e-commerce di successo come Kylie Cosmetics, il marchio di bellezza da 1,2 miliardi di dollari fondato da Kylie Jenner, ha registrato quasi 500 nuovi siti negli ultimi due mesi con nomi che includono “corona” o “covid.

Uno dei nuovi siti messi sotto la lente d’ingrandimento ha commercializzato una macchina a “concentrazione di ossigeno” per 3.080 dollari. Un altro aveva il “Corona Necklace Air Purifier”, che per 59 dollari dichiarava di fornire “Protezione per tutto il giorno”. Un terzo ha offerto una pillola da 299 dollari che prometteva “Protezione antivirale” per 30 giorni. E siti come CoronavirusGetHelp.com e test-for-covid19.com hanno commercializzato kit di test a domicilio per $29,99 a $79, nessuno dei quali è stato approvato né tantomeno testato.

Ovviamente, molti dei venditori non possiedono effettivamente la merce, né hanno verificato che i prodotti siano legittimi. Spesso gli operatori dei siti sono intermediari che eseguono gli ordini dei clienti acquistando articoli su altri siti web: una sorta di brokeraggio digitale noto come “dropshipping”. Shopify è attraente per queste nuove imprese perché il suo software è in grado di integrare i siti con i fornitori lontani, per lo più in Cina.

Shopify, da parte sua, ha detto che la scorsa settimana la società ha chiuso più di 4.500 siti relativi al virus e ha sostenuto che i siti che non hanno confermato le dichiarazioni mediche che hanno fatto sono stati sospesi dalla piattaforma.

 

Fonte: Cybersecurity360

Ginp, il trojan Android che finge di segnalare i contagiati da Coronavirus

Si chiama Ginp il mobile banking trojan che, in cambio di una piccola somma di denaro, promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è, ovviamente, quello di rubare i dati delle carte di credito delle vittime.

Tra le numerose campagne di attacco che sfruttano l’emergenza coronavirus per colpire le ignare vittime giustamente desiderose di ottenere informazioni aggiornate sulla diffusione del Covid-19, ce n’è una particolarmente insidiosa che sta colpendo gli utenti Android mediante il mobile banking trojan Ginp.

Come funziona il trojan Ginp

“Ginp si installa via link che arriva via whatsapp, sms e mail anche da mittenti presi dalla rubrica della vittima”, spiega Paolo dal Checco, noto informatico forense. “Il link porta a un’app da installare, che contiene il trojan”.

Dopo aver compromesso lo smartphone della vittima, il trojan Ginp entra subito in azione ricevendo dal server C2 controllato dai criminal hacker un comando che gli consente di avviare il Coronavirus finder, una finta applicazione Web che carica sul dispositivo una pagina in cui, in cambio di un piccolo contributo economico di 0,75 euro, promette di mostrare la posizione delle persone risultate positive al coronavirus e che si trovano nelle vicinanze.

Per convincere la vittima ad utilizzare questo particolare “servizio”, Ginp usa un’esca particolarmente subdola: la pagina Coronavirus finder, infatti, afferma che 12 persone infettate dal Covid-19 si trovano nelle sue vicinanze e promette di mostrare la loro esatta posizione.

Se la vittima accetta di visualizzare queste informazioni, viene reindirizzata ad una nuova pagina Web sulla quale può effettuare il pagamento. Una volta inseriti i dati della carta di credito, però, la vittima non riceve né l’addebito della somma di denaro richiesta né le informazioni relative alle persone “infette”.

Lo scopo dei criminali informatici è infatti esclusivamente quello di entrare in possesso delle credenziali della carta di credito dell’utente nel momento in cui vengono inserite per effettuare il pagamento.

Secondo i ricercatori Kaspersky che hanno individuato la nuova campagna malevola, per realizzare l’operazione “Coronavirus finder” i criminal hacker avrebbero preso spunto dall’applicazione “Shield” recentemente rilasciata dal Ministero della Salute israeliano che avvisa gli utenti qualora si fossero trovati in una località nello stesso momento di un’altra persona già identificata come vettore del Coronavirus.

Consente all’invio di comunicazioni promozionali inerenti i prodotti e i servizi di soggetti terzi rispetto ai Titolari con modalità di contatto automatizzate e tradizionali da parte dei terzi medesimi, a cui vengono comunicati i dati.

I dati sulla diffusione di Ginp mostrano che i principali obiettivi del mobile banking trojan sono stati finora gli utenti spagnoli, ma i ricercatori avvertono che questa operazione potrebbe espandersi rapidamente oltre il territorio iberico.

I consigli per difendersi

Al momento, il modo migliore per rendere inefficace la campagna malevola condotta con il trojan Ginp è quello di rimanere a casa. Questa misura preventiva, raccomandata anche dall’OMS, assicura infatti il rispetto della distanza di sicurezza dalle persone portatrici di Covid-19.

È importante, inoltre, fidarsi esclusivamente dei dati e delle eventuali applicazioni ufficiali rilasciate dai governi dei Paesi colpiti dalla pandemia, gli unici ad avere le informazioni esatte sulla diffusione del coronavirus.

“I criminali informatici hanno cercato per mesi di approfittare della crisi generata dal coronavirus lanciando attacchi di phishing e creando malware a tema. Questa è la prima volta, però, che vediamo un trojan bancario tentare di capitalizzare sulla pandemia. È una situazione allarmante, soprattutto perché Ginp è un trojan molto efficace. Per questo motivo incoraggiamo gli utenti di Android a prestare molta attenzione e a guardare con scetticismo a pop-up, pagine web sconosciute e messaggi sul coronavirus”, ha affermato Alexander Eremin, Security Expert di Kaspersky.

Per ridurre i rischi legati al trojan Ginp o ad altri mobile banking trojan, gli esperti di Kaspersky suggeriscono queste semplici regole di sicurezza informatica:
• scaricare solo le applicazioni presenti sugli store ufficiali di Android;
• non cliccare su link sospetti e non rivelare mai informazioni sensibili, come le password o le credenziali della carta di credito;
• installare sul proprio smartphone o sul tablet una soluzione di sicurezza affidabile che protegga da una ampia gamma di minacce, tra cui proprio i mobile banking trojan.

È utile sottolineare, infine, che il trojan Ginp colpisce esclusivamente i telefoni cellulari con sistema operativo Android e non gli iPhone con iOS di Apple.

 

Fonte: CyberSecurity360

Poste Italiane, come difendersi dalle truffe

Per Poste Italiane la protezione dei propri clienti ha da sempre la massima priorità. In questo periodo in cui potenziali frodatori cercano di mettere in atto tentativi di frode attraverso e-mail, SMS, chiamate e chat sfruttando il tema Coronavirus, abbiamo pensato per te alcuni consigli per evitare di diventare vittima inconsapevole.

Avvertenze generali

Quando ricevi una qualsiasi comunicazione tramite e-mail, controlla sempre accuratamente il mittente prima di aprire i file allegati (es: word, pdf, excel).
Non inserire o condividere mai, via e-mail o SMS, Password, OTP, PIN, dati delle carte, credenziali di accesso all’home banking o altri codici personali. Poste Italiane non chiedono mai di fornire telefonicamente e attraverso e-mail, SMS e messaggi sui social questo tipo di informazioni.

Come puoi riconoscerci?

Le comunicazioni di Poste Italiane sono riconoscibili dall’indirizzo della pagina web che visiti, che deve essere poste.it (es. poste.it/iorestoacasa), e dal lucchetto in alto a sinistra della barra di navigazione. Se ti capita di ricevere comunicazioni sospette, puoi segnalarle a Poste Italiane all’indirizzo antiphishing@posteitaliane.it e poi cestinarle.
Attraverso i Social i canali ufficiali sono riconoscibili grazie alla spunta blu presente accanto al nome Poste Italiane.

Per la tua tutela

Potresti essere contattato per conto di Poste Italiane dai centri di monitoraggio (con sedi in Italia e in Paesi dell’Unione Europea) telefonicamente o via SMS per verificare se alcune operazioni sulla tua carta di pagamento siano state da te effettivamente autorizzate. Anche in tal caso non ti verranno richieste mai Password, OTP, PIN, dati delle carte, credenziali di accesso all’home banking o altri codici personali.
Usa le App di Poste Italiane, sono il modo più sicuro per autorizzare i tuoi pagamenti online e ricevere le notifiche push in tempo reale sulle operazioni di pagamento effettuate.

Durante le prossime settimane ti aiuteremo a capire come rendere più semplice la tua quotidianità, utilizzando le nostre App e il sito poste.it, ad esempio, per pagare i bollettini, ricaricare la tua carta Postepay, fare acquisti online in totale sicurezza e molto altro.

 

Fonte: PosteItaliane

Coronavirus: nuova ondata di phishing e malware

Il Coronavirus non ferma i criminali del web, che non si fanno scrupoli ad approfittare del rischio di epidemia in corso per architettare nuove ed insidiose frodi informatiche.

Ancora una volta il Centro Nazionale Protezione Infrastrutture Critiche #CNAIPIC della #Polizia #Postale e delle Comunicazioni, è venuto a conoscenza di una nuova campagna mirata di phishing e malware legata al tema dell’epidemia da #Coronavirus (COVID-19).

In particolare è in atto un massivo invio di messaggi email e non solo, del malware infostealer AZORult.
Nella circostanza i criminali hanno spacciato la minaccia informatica per un’applicazione che mostra la mappa della diffusione del virus nel mondo: la GUI (Graphical User Interface) che risulta particolarmente verosimile a quella ospitata sui sistemi della Johns Hopkins University (ArcGIS).
Il virus AZORult, oltre a scaricare ulteriori minacce nelle macchine colpite, è in grado di raccogliere informazioni come nome, ID/password, numero della carta di pagamento, cryptovalute e altri dati sensibili presenti nei browser; alcune varianti consentono anche connessioni di tipo Remote Desktop Protocol (RDP).

L’invito della Polizia Postale è di diffidare da questi e da simili messaggi, evitando accuratamente di aprire gli allegati che essi contengono.
Per ogni utile informazione, la Polizia mette a disposizione il proprio “commissariato virtuale”, raggiungibile all’indirizzo www.commissariatodips.it.

 

Fonte: PoliziaPostale

Attacco ai sistemi della PA italiana, a mancare è la cultura cyber

Un’operazione della Polizia Postale ha portato all’arresto dell’hacker che, tramite attacchi phishing ai sistemi informatici della PA italiana, si sarebbe appropriato di migliaia di informazioni riservate di privati e aziende. Ecco perché quanto accaduto è occasione per ribadire l’importanza della diffusione di un’accurata cultura della sicurezza informatica e l’esigenza di una formazione specifica

È di queste ore la notizia dell’arresto dell’hacker ritenuto responsabile dell’attacco ai sistemi informatici della PA italiana attraverso il quale sono state sottratte centinaia di credenziali di accesso a dati sensibili relativi a posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi di centinaia di cittadini e imprese italiane.

L’hacker ha attaccato in un primo momento i sistemi informatici di alcuni comuni italiani ed è riuscito ad introdursi in banche dati come quella dell’Agenzia delle Entrate, dell’ACI, dell’Inps, dell’Aci e di Infocamere.

Per portare a termine il suo intento criminale, l’hacker ha dato prova di “un know how informatico di altissimo livello”, come ha spiegato la Polizia postale e ciò conferma ancora una volta l’importanza dell’implementazione di strategie di sicurezza sempre più avanzate, capaci di fronteggiare attacchi sempre più aggressivi e condotti da persone con una notevole competenza in ambito IT.

I numeri

La natura particolarmente sensibile dei dati trattati dagli enti pubblici li rende un obiettivo estremamente interessante per i cyber criminali, che sanno di poter puntare ad un volume elevato di dati estremamente preziosi e la cui monetizzazione, nel Dark Web, può condurre a profitti sostanziosi.

Questo aspetto viene confermato anche dai dati allarmanti del CERT-PA, che opera dal 2013 all’interno dell’Agenzia per l’Italia Digitale e inclusi nel Rapporto Clusit 2019: nel corso del 2018 le segnalazioni di incidenti informatici gestite dal CERT-PA sono state 1.297, contro le 520 del 2017, con un incremento del 150% circa.

Ciò che è ormai imprescindibile, in particolar modo per settori a rischio come la PA, il medicale o l’energetico, è mettere a punto una strategia difensiva completa, che si basi su diversi livelli di protezione.

Il principio cardine della difesa in profondità è che l’approccio a più livelli migliora sensibilmente la sicurezza dell’intero sistema. Qualora un livello venga compromesso, c’è l’opportunità che l’attacco venga fermato dal secondo o terzo strato.

La crescita esponenziale della complessità delle minacce e le competenze sempre più specifiche dei cyber criminali mettono a dura prova l’abilità di proteggersi di molte realtà, siano esse pubbliche o private. Le soluzioni di sicurezza vanno dunque automatizzate il più possibile per individuare e bloccare attacchi coordinati e sofisticati, lavorando insieme per proteggere dati, dispositivi e reti.

Va altresì ricordato che non tutti gli enti pubblici possono contare su risorse illimitate da dedicare specificamente alla cyber security e diventa dunque fondamentale optare per sistemi di sicurezza veloci e facili da installare, configurare e gestire giornalmente, così da ridurre al minimo le spese di gestione.

L’importanza della formazione sulla cyber security

Da ribadire ancora una volta, inoltre, l’importanza della diffusione di un’accurata cultura della sicurezza informatica e l’esigenza di una formazione specifica: alla base del recente attacco ai sistemi informatici della PA italiana vi è infatti, ancora una volta, la tecnica del phishing ovvero la diffusione di e-mail apparentemente provenienti da istituzioni pubbliche, ma che contenevano in realtà contenenti pericolosi malware.

I SophosLabs hanno recentemente rilevano una crescita dei malware del 77% nelle e-mail che vengono intercettate e bloccate dai nostri sistemi di sicurezza e sebbene il comportamento umano sia un elemento debole della cyber sicurezza, il 62% delle aziende non fornisce ai propri dipendenti la formazione necessaria per riconoscere i tentativi di phishing.

Diffondere una cultura della sicurezza e della consapevolezza in materia di protezione dei dati è diventato prioritario, alla luce della costante crescita di fenomeni come il ransomware e l’introduzione di nuove normative come il GDPR.

I dipendenti devono essere responsabili del modo in cui gestiscono i dati e saper individuare un attacco di phishing dovrebbe far parte della loro formazione.

 

Fonte: CyberSecurity360

Finte raccomandate digitali dall’Agenzia delle entrate: ecco la nuova truffa per rubare dati bancari

Una massiccia campagna di phishing sta diffondendo finte raccomandate digitali inviate dall’Agenzia delle entrate con lo scopo di rubare informazioni riservate e credenziali bancarie. Ecco tutti i dettagli di questa nuova truffa e i consigli per prevenire qualsiasi violazione di dati personali

Stanno circolando in questi giorni alcune e-mail truffa relative a (ovviamente finte) raccomandate digitali inviate ad ignari utenti dall’ufficio Riscossione dell’Agenzia delle entrate. Si tratta di un ennesimo tentativo di attacco phishing finalizzato al furto di informazioni riservate e credenziali bancarie.

Finte raccomandate digitali: i dettagli della truffa

A denunciarlo è stata la stessa Agenzia delle entrate-Riscossione che, in un comunicato stampa dell’ufficio Relazioni esterne e Governance – Relazioni con i Media, mette in guardia da questa nuova campagna di malspam camuffata da comunicazione relativa all’arrivo di una “raccomandata digitale” che invita a cliccare su un link per accedere al documento o a inserire dei codici non meglio specificati.

La truffa di tipo phishing, come sempre più spesso accade in questi casi, è ben congeniata e credibile. La prima “esca” utilizzata dai criminal hacker è già nell’oggetto dell’e-mail, in cui si legge un perentorio “Agenzia delle entrate-Riscossione” capace di confondere anche il più attento degli utenti.

La seconda esca è nel testo del messaggio, dove si fa riferimento a presunti documenti esattoriali di cui, tra l’altro, è indicato anche un falso numero di riferimento. L’ignara vittima viene quindi invitata a visionarli o estrarli dall’archivio digitale dell’Agenzia delle entrate semplicemente cliccando sul link “ACCEDI DOCUMENTO”.

Collegandosi all’indirizzo indicato, la vittima si ritrova davanti una pagina informativa con tanto di logo istituzionale dell’Agenzia delle entrate utilizzato per rendere la truffa più credibile.

A questo punto scatta la trappola vera e propria: la vittima viene infatti invitata a fornire i propri documenti di riconoscimento e le credenziali bancarie per consentire all’Agenzia delle entrate di completare delle non meglio specificate operazioni. In realtà, i dati riservati sono già finiti nelle grinfie dei criminal hacker.

Ecco come mettere al sicuro le credenziali bancarie

Agenzia delle entrate fa sapere, nella sua nota, di essere “completamente estranea all’invio di tali comunicazioni e raccomanda di non cliccare sui collegamenti presenti e, soprattutto, di non fornire i propri documenti e dati personali nella pagina web indicata nella email, eliminandola in via definitiva dalla propria casella di posta elettronica”.

Questa ennesima campagna malevola dimostra ancora una volta che il phishing, nonostante le numerose campagne informative, continua ad essere una delle tecniche di cyber attacco e cyber spionaggio preferite dai criminal hacker, che la usano per impossessarsi fraudolentemente di dati riservati delle loro vittime.

Il consiglio per difendersi da questa nuova campagna malevola è, ovviamente, quello di ignorare e cancellare eventuali e-mail provenienti da utenze non riconosciute o sospette.

Nel caso della nuova truffa delle finte “raccomandate digitali”, ad esempio, l’allarme trappola dovrebbe scattare già leggendo la richiesta da parte dell’Agenzia delle entrate di comunicare i propri dati personali e le credenziali bancarie. Nessun ufficio pubblico, né tantomeno un istituto di credito o finanziario, ci chiederà mai di fornire queste informazioni riservate via e-mail o mediante un semplice form online.

È inoltre possibile prevenire qualunque tipo di attacco phishing seguendo queste semplici regole di sicurezza informatica:
• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
• evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

 

Fonte: CyberSecurity360

Phishing via pec su fatturazione elettronica, comunicato Agenzia delle Entrate

L’Agenzia delle Entrate informa che in questi giorni stanno circolando delle mail di phishing via Pec, relative alla fatturazione elettronica, con lo scopo di truffare i cittadini. Nel mirino ci sono soprattutto le caselle Pec di strutture pubbliche, private e di soggetti iscritti a ordini professionali.

Si tratta di mail che hanno come oggetto la dicitura “Invio File <XXXXXXXXXX>” e che hanno come obiettivo la raccolta di informazioni da utilizzare verosimilmente per frodare il destinatario. Il testo del messaggio appare plausibile in quanto è ripreso da una precedente e lecita comunicazione inviata dal Sistema di Interscambio (SdI).

A tal proposito, si ricorda che i messaggi Pec del sistema SdI hanno alcune specifiche caratteristiche:

– il mittente è solo del tipo sdiNN@pec.fatturapa.it dove NN è un progressivo numerico a due cifre;

– il messaggio deve contenere necessariamente due allegati composti in accordo alle specifiche tecniche sulla Fatturazione Elettronica (pubblicate sul sito dell’Agenzia delle Entrate).

L’Agenzia, nel dichiararsi estranea a tali fatti, invita i cittadini a fare particolare attenzione alle mail provenienti da utenze sconosciute o sospette che richiedono di modificare l’indirizzo di recapito per le successive comunicazione con il Sistema di Interscambio e a cestinarle immediatamente.

 

Fonte: Agenzia delle Entrate

Phishing via PEC, la nuova truffa delle finte fatture elettroniche: i consigli per difendersi

I criminal hacker hanno avviato una nuova campagna di phishing via PEC per colpire le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali. Ecco i dettagli tecnici e i consigli per difendersi

Una massiccia campagna di phishing via PEC sta colpendo negli ultimi giorni le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali. Come successo già in passato, ad esempio per la diffusione del ransomware FTCODE, le e-mail malevoli vengono veicolate mediante altri indirizzi PEC già compromessi in passato.

Phishing via PEC: i dettagli della truffa

Le e-mail malevoli sono riconoscibili perché hanno il seguente oggetto:
Invio File <XXXXXXXXXX>
dove, al posto delle X compare una stringa casuale composta da 10 cifre. Il testo dei messaggi di posta elettronica certificata fraudolenti fa riferimento, inoltre, ad un allegato firmato digitalmente:
ITYYYYYYYYYY_1bxpz.XML.p7m
ma che in realtà non è presente all’interno dell’e-mail. La mancanza dell’allegato differenzia questa nuova truffa dai precedenti attacchi alle caselle PEC utilizzati per diffondere malware di ogni genere: oltre al ransomware FTCODE già menzionato prima, ricordiamo anche gli attacchi coi malware sLoad, Gootkit e DanaBot.

Secondo gli analisti del CERT-PA che hanno rilevato l’esistenza della nuova campagna malevola, siamo dunque di fronte ad un vero e proprio attacco di tipo phishing mirato alla raccolta di informazioni riservate ai danni delle vittime. Ciò lascerebbe supporre che i criminal hacker stiano preparando il campo per un successivo attacco mirato ai danni di target ben definiti.
Il testo del messaggio malevolo veicolato mediante questa nuova tipologia di phishing viene infatti utilizzato per comunicare un “nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio”.

Dall’analisi dell’e-mail, però, viene fuori che tale indirizzo coincide sempre con il mittente della casella di posta elettronica certificata compromessa e controllata dall’attaccante. In particolare, il CERT-PA ha scoperto che:
• il display name del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
• il mittente effettivo è una casella PEC di una società italiana;
e che i phisher hanno clonato una comunicazione PEC lecita emessa a inizio mese da Sogei contestualmente all’attivazione del Sistema di Interscambio.

La truffa, ben congeniata, serve dunque ai criminal hacker per indurre le potenziali vittime del phishing a inviare le future fatture elettronica al nuovo indirizzo del Sistema di interscambio; ma così facendo non fanno altro che “regalare” agli attaccanti i loro dati riservati.
Come se non bastasse, all’interno del messaggio di testo è nascosto un efficiente sistema di tracciamento che, abilitandosi all’apertura della mail e puntando al dominio “pattayajcb[.]com”, consente di monitorare le attività delle vittime.

Come difendersi dalla nuova truffa

Secondo i dati raccolti dal CERT-PA in collaborazione con i gestori PEC, i criminal hacker sarebbero riusciti a sfruttare circa 500 account PEC compromesse per inviare un totale di 265.000 messaggi di phishing nell’ultima settimana.
Il consiglio per difendersi da questa nuova campagna malevola è ovviamente quello di ignorare e cancellare eventuali e-mail PEC provenienti da utenze non riconosciute e che, ovviamente, comunicano un nuovo indirizzo per il recapito delle fatture elettroniche al Sistema di Interscambio.

È utile, inoltre, seguire alcune semplici regole di sicurezza informatica:
• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
• evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.