Bozza di corso sul malware

Questi appunti riguardano una bozza di un breve corso per difendersi dal malware.

Il ransomware per email

Il 99% del malware attualmente (2016-inizio 2017) ricevuto per email e` del tipo "Ransomware", ovvero i figli del Cryptolocker. Questo software rende illeggibili i files su tutti i dischi e gli share di rete raggiungibili dall'utente che ha eseguito il malware in questione, e chiede un riscatto anche molto elevato (migliaia di euro) sotto forma di Bitcoin o altra criptovaluta. Nuove evoluzioni di questo tipo di malware aggiungono anche nuove funzionalita`: per esempio oltre a chiedere il riscatto provvedono a leggere e sottrarre una serie di dati utili (indirizzi email, password, eccetera).

Tipicamente questo malware arriva sotto forma di finte fatture, finti documenti fiscali, finte multe, finte ingiunzioni legali, e anche semplicemente finte immagini, finti MMS, finti contatti e aggiornamenti di qualche social network.

Il compito della persona che riceve queste email e` semplicemente quello di prestare attenzione per evitare di aprire tutto cio` che arriva. Sembra difficile ma non lo e`. Vediamo come possiamo difenderci, partendo dalle valutazioni piu` semplici e andando verso quelle piu` complesse.

Email palesemente false

Email false meno riconoscibili

Ci sono casi nei quali una email falsa puo` sembrare valida, vuoi perche` ha una veste grafica "credibile", vuoi perche` sembra provenire da un fornitore che in effetti usiamo (un corriere, Enel, Telecom, ecc). Per riconoscere i falsi in questo caso occorre applicarsi con un poco piu` di attenzione.

Allegati nocivi

In alcuni casi le finte email ci chiedono di cliccare su un link che ci porta a un sito, in altri casi invece contengono degli allegati in vari formati (doc, pdf, xls, exe, com, js, scr, zip, eccetera). Ci sono degli allegati che sono sicuramente nocivi, e altri che potrebbero non esserlo ma potrebbero anche esserlo.

Sono sicuramente nocivi (a meno che la fonte non sia assolutamente affidabile, ma nel dubbio non apriteli):

Possono essere nocivi

Per difendersi dagli allegati nocivi e` importante imparare a riconoscere l'estensione di un file (quella vera) e per questo e` fondamentale impostare il proprio PC per mostrare SEMPRE le estensioni dei files.

E` altrettanto importante, aprendo un documento di Office, se appare una richiesta che chiede di eseguire le macro contenute nel documento, rispondere di NO e chiudere subito il documento. Molte volte il malware e` sotto forma di macro di Office, e il documento e` impostato per "spiegare" alla vittima che per poter leggere quel documento e` proprio necessario attivare le macro. Arriva al punto da spiegare passo passo come fare per attivarle, usando una immagine composta con il font e i colori classici usati da Microsoft nei suoi programmi. Se vedete una cosa del genere, NON fate cio` che vi viene chiesto, chiudete il documento e avvisate il vostro tecnico.

Una nota sul files compressi (ZIP, RAR, ARJ, eccetera)

Spesso i malware arrivano sotto forma di file eseguibile (exe, com, js, scr, ecc) compresso dentro a uno ZIP (raramente RAR). Se dovesse capitarvi qualcosa che sembra essere legittimo, aprite lo zip e poi FERMATEVI. Prima di cliccare alla cieca sul contenuto dello ZIP, controllate bene che non sia un file eseguibile.

Una nota sulla PEC

La PEC non e` "al sicuro", e` anche essa veicolo dello stesso tipo di malware che arriva per email tradizionale. Non fatevi ingannare dalla falsa idea che "la PEC e` ufficiale e quindi e` sicura". Questo e` vero soprattutto (ma non solo) se il mittente non puo` essere verificato correttamente, ovvero se avete ricevuto una email "normale" nella casella PEC. Alcune caselle PEC non accettano email "normali", ma altre si`. In ogni caso anche una PEC, perfino inviata da un mittente a voi noto, puo` contenere del malware (vedi il paragrafo successivo).

Mittenti noti

Purtroppo puo` succedere che vi arrivino email contenenti malware che apparentemente vengono da mittenti a voi noti. Questo succede perche` al mittente in questione e` stata rubata (a mezzo di malware, ovviamente) la rubrica. Mandare una mail usando un mittente noto e` un modo perfetto per infettarvi, perche` ovviamente il mittente noto ispira fiducia. Come possiamo difenderci? Controllando se l'allegato e` un eseguibile, per esempio. Verificando che il testo della mail sia qualcosa di sensato, qualcosa che il nostro mittente avrebbe davvero potuto scriverci. Se abbiamo dubbi, alla peggio, telefoniamo al mittente e chiediamo.

Altri tipi di email nocive

Altri tipi di email "nocive" sono quelle che inducono a fornire a qualcuno i nostri dati (username e password della banca, della mail, di Ebay, di Facebook, di Paypal, dei nostri computer, o numeri di carte di credito o simili). Questo tipo di email, note come "phishing" (ovvero "andare a pesca", dove noi siamo i pesci che abboccano) sono meno comuni in questo periodo, ma comunque esistono e sono pericolose anche esse.

Tipicamente queste email mirano a farvi visitare un sito dove vi verranno chiesti dati di accesso o carte di credito. Questi siti somigliano a quelli legittimi (la vostra banca, paypal, ebay, ecc) ma non sono quelli legittimi. Raramente vi chiedono semplicemente di rispondere alla mail indicando username e password di sistemi informatici. Non fatelo MAI.

Queste email possono essere riconosciute piu` o meno usando gli stessi metodi indicati in precedenza.

Esempi classici di queste mail, ricorrenti ogni qualche mese, sono quelle delle poste italiane, di qualche banca, di Paypal, o il classico dei classici, "il tuo Apple ID e` stato bloccato".

Attacchi avanzati

Se la vostra azienda diventa bersaglio "interessante", puo` essere soggetta ad attacchi mirati. Frodi pensate e organizzate esattamente per colpire VOI, e non per colpire a caso il primo fesso che ci casca. In casi come questi il livello di difficolta` aumenta di almeno 10 volte. Evitare questo genere di attacchi diventa enormemente piu` difficile, e non e` qualcosa che posso sintetizzare qui in poche righe.

Come comportarsi in caso di dubbi

In ogni caso se ci sono dei dubbi inoltrate la mail sospetta a un esperto (il vostro tecnico informatico per esempio) chiedendo di controllarla, e NON APRITE NESSUN ALLEGATO, NE` CLICCATE SU ALCUN LINK.

Se dopo aver aperto un allegato o un link vi rendete conto che l'allegato non si apre / non funziona o il link non contiene cio` che vi aspettavate, dovete IMMEDIATAMENTE spegnere il vostro PC (anche staccando la spina se necessario, rapidamente come se stesse per esplodere) e chiamare il tecnico.

Malware (last edited 2017-05-18 12:42:54 by Kurgan)