Bozza di corso sul malware
Questi appunti riguardano una bozza di un breve corso per difendersi dal malware.
Il ransomware per email
Il 99% del malware attualmente (2016-inizio 2017) ricevuto per email e` del tipo "Ransomware", ovvero i figli del Cryptolocker. Questo software rende illeggibili i files su tutti i dischi e gli share di rete raggiungibili dall'utente che ha eseguito il malware in questione, e chiede un riscatto anche molto elevato (migliaia di euro) sotto forma di Bitcoin o altra criptovaluta. Nuove evoluzioni di questo tipo di malware aggiungono anche nuove funzionalita`: per esempio oltre a chiedere il riscatto provvedono a leggere e sottrarre una serie di dati utili (indirizzi email, password, eccetera).
Tipicamente questo malware arriva sotto forma di finte fatture, finti documenti fiscali, finte multe, finte ingiunzioni legali, e anche semplicemente finte immagini, finti MMS, finti contatti e aggiornamenti di qualche social network.
Il compito della persona che riceve queste email e` semplicemente quello di prestare attenzione per evitare di aprire tutto cio` che arriva. Sembra difficile ma non lo e`. Vediamo come possiamo difenderci, partendo dalle valutazioni piu` semplici e andando verso quelle piu` complesse.
Email palesemente false
- Lingua: se riceviamo email in una lingua che non e` la nostra, e non abbiamo un buon motivo per riceverle, possiamo cestinarle senza pensarci.
- Palesi assurdita`:
- Il ministero delle Finanze non ci mandera` mai una cartella esattoriale via email.
- Il governo spagnolo non ci mandera` per email una multa per una violazione del codice della strada.
- Se non siamo clienti di Vodafone, non riceveremo mai una fattura di Vodafone via email. (questo vale per qualsiasi fornitore, Telecom, Enel, eccetera)
- La polizia postale non ci intimera` mai a mezzo email o pagina web di pagare una multa per aver visto materiale pornografico illegale online.
- Se non siamo iscritti a un determinato sito o servizio, come mai ci arrivano notifiche di nuovi messaggi per noi su questo sito o servizio?
- Nessuno usa piu` gli MMS. Se vi arriva un MMS per email, buttatelo via. Se poi era davvero un MMS era sicuramente una vignetta stupida. Non avete perso nulla di importante.
Email false meno riconoscibili
Ci sono casi nei quali una email falsa puo` sembrare valida, vuoi perche` ha una veste grafica "credibile", vuoi perche` sembra provenire da un fornitore che in effetti usiamo (un corriere, Enel, Telecom, ecc). Per riconoscere i falsi in questo caso occorre applicarsi con un poco piu` di attenzione.
- Errori grammaticali: spesso le email false sono state scritte in italiano da una persona non madrelingua, o da un traduttore automatico. Usano termini errati, modi di dire che non hanno senso, o vi sono semplicemente diversi errori di grammatica. Leggete il testo della mail (senza aprire allegati e senza cliccare link) facendo attenzione a come e` scritto. "Pregasi di aprire il fattura allegato" NON E` ITALIANO.
- Errori nei dati: riceviamo una finta bolletta Enel che sembra ad una prima occhiata essere autentica, ma il codice cliente non e` il nostro, e il codice fiscale non solo non e` il nostro, ma non e` nemmeno un codice fiscale valido (ovvero non e` composto di lettere e numeri come ci aspetteremmo).
- Errori nei dati: L'intestazione della azienda emittente la finta bolletta e` totalmente inesatta (per esempio riporta la dicitura "numero Registro Imprese" seguita da un codice che sicuramente non puo` essere un numero di Registro Imprese.)
- Errori nei dati: La finta bolletta riporta un ammontare assurdo (troppo alto / troppo basso) rispetto alla media delle nostre reali bollette.
Mittente fasullo: Passando il mouse sopra l'indirizzo del mittente (o visualizzando detto indirizzo nel modo previsto dal nostro sistema di email) vediamo che il mittente ha un indirizzo che non ha chiaramente nulla a che fare con chi ci vuole far credere di essere. Per esempio, una fattura dell' Enel che arriva da "rossi64@hotmail.it" non credo proprio che sia vera.
- Link (collegamenti da cliccare) che puntano a siti che non hanno niente a che fare con il sito istituzionale dell'azienda emittente il finto documento. Per esempio, portando il cursore sopra al collegamento o al bottone che ci viene chiesto di cliccare, vediamo un indirizzo che chiaramente non ha a che fare con l'azienda in questione.
- Anomalie di processo: per 20 anni Enel ci ha mandato la bolletta di carta, nessuno ha chiesto il cambio con la fatturazione per email, e ci arriva una bolletta per email. Perche` mai dovrebbero averci mandato una bolletta per email, cosi`, all'improvviso, senza motivo alcuno?
- Assenza di informazioni: se una mail contiene un allegato e una mezza riga di testo che dice "ecco i documenti per te" o giu` di li`, facciamo attenzione. Tipicamente una mail fra una azienda e il suo cliente contiene piu` informazioni di una semplice breve frase come "ecco i documenti". Ci sono stati un paio di casi eclatanti di mail legittime contenenti appunto la sola dicitura "documenti allegati" o simile. A mio avviso in questo caso e` giusto che siano state cancellate senza leggerle.
- Altro caso di assenza di informazioni: se riceviamo una mail autentica da un servizio online (una banca, per esempio) questa di solito contiene informazioni personali complete e sensate, come per esempio il nostro nome e cognome (completo) o l'intestazione (esatta) dell'azienda. La presenza di queste informazioni complete ed esatte e` una indicazione che questa email e` in effetti lecita (oppure e` un falso fatto molto bene).
Allegati nocivi
In alcuni casi le finte email ci chiedono di cliccare su un link che ci porta a un sito, in altri casi invece contengono degli allegati in vari formati (doc, pdf, xls, exe, com, js, scr, zip, eccetera). Ci sono degli allegati che sono sicuramente nocivi, e altri che potrebbero non esserlo ma potrebbero anche esserlo.
Sono sicuramente nocivi (a meno che la fonte non sia assolutamente affidabile, ma nel dubbio non apriteli):
- js
- exe
- com
- scr
Possono essere nocivi
- doc
- xls
- zip
- wma
- wmv
- mp3
- e fondamentalmente qualsiasi altro tipo di allegato puo` nascondere qualche insidia.
Per difendersi dagli allegati nocivi e` importante imparare a riconoscere l'estensione di un file (quella vera) e per questo e` fondamentale impostare il proprio PC per mostrare SEMPRE le estensioni dei files.
E` altrettanto importante, aprendo un documento di Office, se appare una richiesta che chiede di eseguire le macro contenute nel documento, rispondere di NO e chiudere subito il documento. Molte volte il malware e` sotto forma di macro di Office, e il documento e` impostato per "spiegare" alla vittima che per poter leggere quel documento e` proprio necessario attivare le macro. Arriva al punto da spiegare passo passo come fare per attivarle, usando una immagine composta con il font e i colori classici usati da Microsoft nei suoi programmi. Se vedete una cosa del genere, NON fate cio` che vi viene chiesto, chiudete il documento e avvisate il vostro tecnico.
Una nota sul files compressi (ZIP, RAR, ARJ, eccetera)
Spesso i malware arrivano sotto forma di file eseguibile (exe, com, js, scr, ecc) compresso dentro a uno ZIP (raramente RAR). Se dovesse capitarvi qualcosa che sembra essere legittimo, aprite lo zip e poi FERMATEVI. Prima di cliccare alla cieca sul contenuto dello ZIP, controllate bene che non sia un file eseguibile.
Una nota sulla PEC
La PEC non e` "al sicuro", e` anche essa veicolo dello stesso tipo di malware che arriva per email tradizionale. Non fatevi ingannare dalla falsa idea che "la PEC e` ufficiale e quindi e` sicura". Questo e` vero soprattutto (ma non solo) se il mittente non puo` essere verificato correttamente, ovvero se avete ricevuto una email "normale" nella casella PEC. Alcune caselle PEC non accettano email "normali", ma altre si`. In ogni caso anche una PEC, perfino inviata da un mittente a voi noto, puo` contenere del malware (vedi il paragrafo successivo).
Mittenti noti
Purtroppo puo` succedere che vi arrivino email contenenti malware che apparentemente vengono da mittenti a voi noti. Questo succede perche` al mittente in questione e` stata rubata (a mezzo di malware, ovviamente) la rubrica. Mandare una mail usando un mittente noto e` un modo perfetto per infettarvi, perche` ovviamente il mittente noto ispira fiducia. Come possiamo difenderci? Controllando se l'allegato e` un eseguibile, per esempio. Verificando che il testo della mail sia qualcosa di sensato, qualcosa che il nostro mittente avrebbe davvero potuto scriverci. Se abbiamo dubbi, alla peggio, telefoniamo al mittente e chiediamo.
Altri tipi di email nocive
Altri tipi di email "nocive" sono quelle che inducono a fornire a qualcuno i nostri dati (username e password della banca, della mail, di Ebay, di Facebook, di Paypal, dei nostri computer, o numeri di carte di credito o simili). Questo tipo di email, note come "phishing" (ovvero "andare a pesca", dove noi siamo i pesci che abboccano) sono meno comuni in questo periodo, ma comunque esistono e sono pericolose anche esse.
Tipicamente queste email mirano a farvi visitare un sito dove vi verranno chiesti dati di accesso o carte di credito. Questi siti somigliano a quelli legittimi (la vostra banca, paypal, ebay, ecc) ma non sono quelli legittimi. Raramente vi chiedono semplicemente di rispondere alla mail indicando username e password di sistemi informatici. Non fatelo MAI.
Queste email possono essere riconosciute piu` o meno usando gli stessi metodi indicati in precedenza.
- Lingua che non e` la vostra
- Palesi errori grammaticali
- Fornitori che non usate
- Mittente falso
- Link a siti che sembrano quelli giusti ma non lo sono
- Informazioni generiche e incomplete (email da un fantomatico "servizio assistenza tecnica" che se ci pensate un momento non avete idea di chi sia e cosa voglia)
Esempi classici di queste mail, ricorrenti ogni qualche mese, sono quelle delle poste italiane, di qualche banca, di Paypal, o il classico dei classici, "il tuo Apple ID e` stato bloccato".
Attacchi avanzati
Se la vostra azienda diventa bersaglio "interessante", puo` essere soggetta ad attacchi mirati. Frodi pensate e organizzate esattamente per colpire VOI, e non per colpire a caso il primo fesso che ci casca. In casi come questi il livello di difficolta` aumenta di almeno 10 volte. Evitare questo genere di attacchi diventa enormemente piu` difficile, e non e` qualcosa che posso sintetizzare qui in poche righe.
- Spear phishing / Social engineering
- Compromissione account email e dirottamento dei pagamenti
- Furto di informazioni riservate
- Danneggiamento non immediatamente evidente dei dati, allo scopo di rendere inefficace il backup e chiedere un riscatto in seguito
- Furto di credenziali
- Macchine compromesse dietro al firewall, tenute sotto controllo per mesi o anni
Come comportarsi in caso di dubbi
In ogni caso se ci sono dei dubbi inoltrate la mail sospetta a un esperto (il vostro tecnico informatico per esempio) chiedendo di controllarla, e NON APRITE NESSUN ALLEGATO, NE` CLICCATE SU ALCUN LINK.
Se dopo aver aperto un allegato o un link vi rendete conto che l'allegato non si apre / non funziona o il link non contiene cio` che vi aspettavate, dovete IMMEDIATAMENTE spegnere il vostro PC (anche staccando la spina se necessario, rapidamente come se stesse per esplodere) e chiamare il tecnico.