Articoli

La truffa della finta fattura TIM, il ransomware FTCODE torna a colpire le PEC italiane

Il ransomware FTCODE torna a colpire le PEC di aziende e pubbliche amministrazioni italiane, questa volta nascondendosi dietro una finta fattura TIM e rubando dati riservati: una grave minaccia per organizzazioni e professionisti in quanto al momento non c’è modo di recuperare i file cifrati.

È stata individuata una nuova variante di FTCODE, il ransomware che prende di mira le caselle di posta elettronica certificata (PEC) intestate ad aziende e pubbliche amministrazioni italiane.

Rispetto alle vecchie versioni, FTCODE non si diffonde più mediante documenti DOC contenenti una macro malevola: nell’attuale campagna di malspam individuata dagli analisti del CERT-PA, il malware viene infatti veicolato mediante e-mail PEC malevoli contenenti un unico link che richiama il testo dell’oggetto di una precedente conversazione con il mittente.

Cliccando sul collegamento presente nel messaggio di posta elettronica certificata, l’ignara vittima non fa altro che scaricare un file ZIP al cui interno i criminal hacker hanno archiviato un file VBS. Dalle analisi effettuate, l’archivio compresso è al momento ospitato su un account Dropbox e non è quindi escluso che l’indirizzo a cui punta il link malevolo possa essere modificato durante l’evolversi della campagna di malspam.

Per rendere credibile la comunicazione via PEC, nel momento in cui viene eseguito il file VBS la nuova variante del ransomware FTCODE scarica e visualizza alla vittima un’immagine che riproduce una vera e propria fattura telefonica TIM.

Non c’è modo di recuperare i file cifrati

Rispetto alle prime varianti del ransomware già individuate il 2 e il 10 ottobre scorsi, i criminal hacker hanno perfezionato il codice malevolo di FTCODE per impedire l’individuazione in chiaro della chiave di cifratura dei file e quindi lo sblocco dei contenuti archiviati sull’hard disk delle vittime mediante un apposito decryptor.

Subito dopo l’installazione sulla macchina target, infatti, FTCODE esegue alcune semplici operazioni usando codice PowerShell utile a cifrare la chiave di codifica dei file prima di comunicarla al server di comando e controllo gestito dagli stessi criminal hacker.

Dopodiché, FTCODE inizia ad estrarre dati personali della vittima, comprese le sue password. La nuova variante del ransomware FTCODE rappresenta dunque una seria minaccia per aziende, professionisti e pubbliche amministrazioni in quanto non c’è modo di recuperare i propri file una volta cifrati.

I dettagli delle vecchie varianti

Come detto, già lo scorso 2 ottobre il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

La variante successiva aveva numerose parti di codice in comune con la precedente versione, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo, quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

I consigli per difendersi

Per difendersi dal ransomware FTCODE è utile ricordare che le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Innanzitutto è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

 

Fonte: CyberSecurity360

Finte raccomandate digitali dall’Agenzia delle entrate: ecco la nuova truffa per rubare dati bancari

Una massiccia campagna di phishing sta diffondendo finte raccomandate digitali inviate dall’Agenzia delle entrate con lo scopo di rubare informazioni riservate e credenziali bancarie. Ecco tutti i dettagli di questa nuova truffa e i consigli per prevenire qualsiasi violazione di dati personali

Stanno circolando in questi giorni alcune e-mail truffa relative a (ovviamente finte) raccomandate digitali inviate ad ignari utenti dall’ufficio Riscossione dell’Agenzia delle entrate. Si tratta di un ennesimo tentativo di attacco phishing finalizzato al furto di informazioni riservate e credenziali bancarie.

Finte raccomandate digitali: i dettagli della truffa

A denunciarlo è stata la stessa Agenzia delle entrate-Riscossione che, in un comunicato stampa dell’ufficio Relazioni esterne e Governance – Relazioni con i Media, mette in guardia da questa nuova campagna di malspam camuffata da comunicazione relativa all’arrivo di una “raccomandata digitale” che invita a cliccare su un link per accedere al documento o a inserire dei codici non meglio specificati.

La truffa di tipo phishing, come sempre più spesso accade in questi casi, è ben congeniata e credibile. La prima “esca” utilizzata dai criminal hacker è già nell’oggetto dell’e-mail, in cui si legge un perentorio “Agenzia delle entrate-Riscossione” capace di confondere anche il più attento degli utenti.

La seconda esca è nel testo del messaggio, dove si fa riferimento a presunti documenti esattoriali di cui, tra l’altro, è indicato anche un falso numero di riferimento. L’ignara vittima viene quindi invitata a visionarli o estrarli dall’archivio digitale dell’Agenzia delle entrate semplicemente cliccando sul link “ACCEDI DOCUMENTO”.

Collegandosi all’indirizzo indicato, la vittima si ritrova davanti una pagina informativa con tanto di logo istituzionale dell’Agenzia delle entrate utilizzato per rendere la truffa più credibile.

A questo punto scatta la trappola vera e propria: la vittima viene infatti invitata a fornire i propri documenti di riconoscimento e le credenziali bancarie per consentire all’Agenzia delle entrate di completare delle non meglio specificate operazioni. In realtà, i dati riservati sono già finiti nelle grinfie dei criminal hacker.

Ecco come mettere al sicuro le credenziali bancarie

Agenzia delle entrate fa sapere, nella sua nota, di essere “completamente estranea all’invio di tali comunicazioni e raccomanda di non cliccare sui collegamenti presenti e, soprattutto, di non fornire i propri documenti e dati personali nella pagina web indicata nella email, eliminandola in via definitiva dalla propria casella di posta elettronica”.

Questa ennesima campagna malevola dimostra ancora una volta che il phishing, nonostante le numerose campagne informative, continua ad essere una delle tecniche di cyber attacco e cyber spionaggio preferite dai criminal hacker, che la usano per impossessarsi fraudolentemente di dati riservati delle loro vittime.

Il consiglio per difendersi da questa nuova campagna malevola è, ovviamente, quello di ignorare e cancellare eventuali e-mail provenienti da utenze non riconosciute o sospette.

Nel caso della nuova truffa delle finte “raccomandate digitali”, ad esempio, l’allarme trappola dovrebbe scattare già leggendo la richiesta da parte dell’Agenzia delle entrate di comunicare i propri dati personali e le credenziali bancarie. Nessun ufficio pubblico, né tantomeno un istituto di credito o finanziario, ci chiederà mai di fornire queste informazioni riservate via e-mail o mediante un semplice form online.

È inoltre possibile prevenire qualunque tipo di attacco phishing seguendo queste semplici regole di sicurezza informatica:
• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
• evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

 

Fonte: CyberSecurity360

Difenditi dallo smishing, la truffa informatica via sms

Poste Italiane ha avvertito tutti i suoi clienti di stare attenti a possibili truffe informatiche derivanti da SMS: stiamo parlando dello smishing.

Lo smishing è una frode in cui i criminali informatici inviano sms spacciandosi per mittenti noti alla vittima. Gli SMS contengono dei link che reindirizzano l’utente su siti contraffatti simili a quelli ufficiali o abitualmente frequentati. Purtroppo tali messaggi sono molto credibili ed è facile essere tratti in inganno: di recente, ad esempio, sono stati inviati SMS a nome di PosteInfo e contenenti link che rimandano a siti clone di Poste Italiane. Da qui i criminali informatici cercano di carpire i dati personali ed operare a danno dei clienti.

Bisogna fare attenzione perché il messaggio fraudolento si visualizza nella stessa lista dei messaggi effettivamente inviati da Poste Italiane, che sono invece corretti e sicuri. Si raccomanda di non utilizzare link presenti in comunicazioni sospette poiché Poste Italiane e le società del Gruppo Poste non chiedono mai ai clienti di fornire i propri dati e codici personali via SMS o mail. Ricorda inoltre che il numero di cellulare è un’informazione personale da tenere sempre protetta.

 

Fonte: Poste Italiane