Differences between revisions 1 and 2
Revision 1 as of 2016-03-07 14:05:21
Size: 7573
Editor: Kurgan
Comment:
Revision 2 as of 2017-05-08 09:04:14
Size: 11130
Editor: Kurgan
Comment:
Deletions are marked like this. Additions are marked like this.
Line 8: Line 8:
Il 99% del malware attualmente (febbraio 2016) ricevuto per email e` del tipo "Ransomware", ovvero i figli del Cryptolocker. Questo software rende illeggibili i files su tutti i dischi e gli share di rete raggiungibili dall'utente che ha eseguito il malware in questione, e chiede un riscatto che va da 500 a 50.000 euro.  Il 99% del malware attualmente (2016-inizio 2017) ricevuto per email e` del tipo "Ransomware", ovvero i figli del Cryptolocker. Questo software rende illeggibili i files su tutti i dischi e gli share di rete raggiungibili dall'utente che ha eseguito il malware in questione, e chiede un riscatto anche molto elevato (migliaia di euro) sotto forma di Bitcoin o altra criptovaluta. Nuove evoluzioni di questo tipo di malware aggiungono anche nuove funzionalita`: per esempio oltre a chiedere il riscatto provvedono a leggere e sottrarre una serie di dati utili (indirizzi email, password, eccetera).
Line 18: Line 19:
 * Palesi assurdita`: 
   * Il ministero delle Finanze non ci mandera` mai una cartella esattoriale via email. 		  * Palesi assurdita`:
   * Il ministero delle Finanze non ci mandera` mai una cartella esattoriale via email.
Line 22: Line 23:
   * La polizia postale non ci intimera` mai a mezzo email o pagina web di pagare una multa per aver visto materiale pornografico illegale online.
   * Se non siamo iscritti a un determinato sito o servizio, come mai ci arrivano notifiche di nuovi messaggi per noi su questo sito o servizio?
   * Nessuno usa piu` gli MMS. Se vi arriva un MMS per email, buttatelo via. Se poi era davvero un MMS era sicuramente una vignetta stupida. Non avete perso nulla di importante.
Line 26: Line 32:
Ci sono casi nei quali una email falsa puo` sembrare valida, vuoi perche` ha una veste grafica "credibile", vuoi perche` sembra provenire da un fornitore che in effetti usiamo (un corriere, Enel, Telecom, ecc). Per riconoscere i falsi in questo caso occorre applicarsi con un poco piu` di attenzione.  Ci sono casi nei quali una email falsa puo` sembrare valida, vuoi perche` ha una veste grafica "credibile", vuoi perche` sembra provenire da un fornitore che in effetti usiamo (un corriere, Enel, Telecom, ecc). Per riconoscere i falsi in questo caso occorre applicarsi con un poco piu` di attenzione.
Line 28: Line 34:
 * Errori grammaticali: spesso le email false sono state scritte in italiano da una persona non madrelingua, o da un traduttore automatico. Usano termini errati, modi di dire che non hanno senso, o vi sono semplicemente diversi errori di grammatica. Leggete il testo della mail (senza aprire allegati e senza cliccare link) facendo attenzione a come e` scritto.  * Errori grammaticali: spesso le email false sono state scritte in italiano da una persona non madrelingua, o da un traduttore automatico. Usano termini errati, modi di dire che non hanno senso, o vi sono semplicemente diversi errori di grammatica. Leggete il testo della mail (senza aprire allegati e senza cliccare link) facendo attenzione a come e` scritto. "Pregasi di aprire il fattura allegato" NON E` ITALIANO.
Line 34: Line 40:
 * Assenza di informazioni: se una mail contiene un allegato e una mezza riga di testo che dice "ecco i documenti per te" o giu` di li`, facciamo attenzione. Tipicamente una mail fra una azienda e il suo cliente contiene piu` informazioni di una semplice breve frase come "ecco i documenti".
 * Assenza di informazioni: se riceviamo una mail autentica da un servizio online (una banca, per esempio) questa di solito contiene informazioni personali complete e sensate, come per esempio il nostro nome e cognome (completo) o l'intestazione (esatta) dell'azienda. La presenza di queste informazioni complete ed esatte e` una indicazione che questa email e` in effetti lecita (oppure e` un falso fatto molto bene).		  * Anomalie di processo: per 20 anni Enel ci ha mandato la bolletta di carta, nessuno ha chiesto il cambio con la fatturazione per email, e ci arriva una bolletta per email. Perche` mai dovrebbero averci mandato una bolletta per email, cosi`, all'improvviso, senza motivo alcuno?
 * Assenza di informazioni: se una mail contiene un allegato e una mezza riga di testo che dice "ecco i documenti per te" o giu` di li`, facciamo attenzione. Tipicamente una mail fra una azienda e il suo cliente contiene piu` informazioni di una semplice breve frase come "ecco i documenti". Ci sono stati un paio di casi eclatanti di mail legittime contenenti appunto la sola dicitura "documenti allegati" o simile. A mio avviso in questo caso e` giusto che siano state cancellate senza leggerle.
 * Altro caso di assenza di informazioni: se riceviamo una mail autentica da un servizio online (una banca, per esempio) questa di solito contiene informazioni personali complete e sensate, come per esempio il nostro nome e cognome (completo) o l'intestazione (esatta) dell'azienda. La presenza di queste informazioni complete ed esatte e` una indicazione che questa email e` in effetti lecita (oppure e` un falso fatto molto bene).
Line 40: Line 47:
In alcuni casi le finte email ci chiedono di cliccare su un link che ci porta a un sito, in altri casi invece contengono degli allegati in vari formati (doc, pdf, xls, exe, com, js, scr, zip, eccetera). Ci sono degli allegati che sono sicuramente nocivi, e altri che potrebbero non esserlo ma potrebbero anche esserlo.  In alcuni casi le finte email ci chiedono di cliccare su un link che ci porta a un sito, in altri casi invece contengono degli allegati in vari formati (doc, pdf, xls, exe, com, js, scr, zip, eccetera). Ci sono degli allegati che sono sicuramente nocivi, e altri che potrebbero non esserlo ma potrebbero anche esserlo.
Line 58: Line 65:
Per difendersi dagli allegati nocivi e` importante imparare a riconoscere l'estensione di un file (quella vera) e per questo e` fondamentale impostare il proprio PC per mostrare le estensioni dei files.
E` altrettanto importante, aprendo un documento di Office, se appare una richiesta che chiede di eseguire le macro contenute nel documento, rispondere di NO e chiudere subito il documento.		 Per difendersi dagli allegati nocivi e` importante imparare a riconoscere l'estensione di un file (quella vera) e per questo e` fondamentale impostare il proprio PC per mostrare SEMPRE le estensioni dei files.

E` altrettanto importante, aprendo un documento di Office, se appare una richiesta che chiede di eseguire le macro contenute nel documento, rispondere di NO e chiudere subito il documento. Molte volte il malware e` sotto forma di macro di Office, e il documento e` impostato per "spiegare" alla vittima che per poter leggere quel documento e` proprio necessario attivare le macro. Arriva al punto da spiegare passo passo come fare per attivarle. Se vedete una cosa del genere, NON fate cio` che vi viene chiesto, chiudete il documento e avvisate il vostro tecnico.



==== Una nota sul files compressi (ZIP, RAR, ARJ, eccetera) ====


Spesso i malware arrivano sotto forma di file eseguibile (exe, com, js, scr, ecc) compresso dentro a uno ZIP (raramente RAR). Se dovesse capitarvi qualcosa che sembra essere legittimo, aprite lo zip e poi FERMATEVI. Prima di cliccare alla cieca sul contenuto dello ZIP, controllate bene che non sia un file eseguibile.
Line 65: Line 83:
La PEC non e` "al sicuro", e` anche essa veicolo dello stesso tipo di malware che arriva per email tradizionale. Attenzione quindi. La PEC non e` "al sicuro", e` anche essa veicolo dello stesso tipo di malware che arriva per email tradizionale. Non fatevi ingannare dalla falsa idea che "la PEC e` ufficiale e quindi e` sicura".
Line 69: Line 87:
==== Mittenti noti ====

Purtroppo puo` succedere che vi arrivino email contenenti malware che apparentemente vengono da mittenti a voi noti. Questo succede perche` al mittente in questione e` stata rubata (a mezzo di malware, ovviamente) la rubrica. Mandare una mail usando un mittente noto e` un modo perfetto per infettarvi, perche` ovviamente il mittente noto ispira fiducia. Come possiamo difenderci? Controllando se l'allegato e` un eseguibile, per esempio. Verificando che il testo della mail sia qualcosa di sensato, qualcosa che il nostro mittente avrebbe davvero potuto scriverci. Se abbiamo dubbi, alla peggio, telefoniamo al mittente e chiediamo.
Line 77: Line 98:
Queste email possono essere riconosciute piu` o meno usando gli stessi metodi indicati in precedenza.  Queste email possono essere riconosciute piu` o meno usando gli stessi metodi indicati in precedenza.
Line 82: Line 103:
 * Link a siti che non sono quelli "giusti"  * Link a siti che sembrano quelli giusti ma non lo sono
Line 85: Line 106:
Esempi classici di queste mail, ricorrenti ogni qualche mese, sono quelle delle poste italiane, di qualche banca, o il classico dei classici, "il tuo Apple ID e` stato bloccato".
Line 89: Line 111:
Se la vostra azienda diventa bersagio "interessante", puo` essere soggetta ad attacchi mirati. Frodi pensate e organizzate esattamente per colpire VOI, e non per colpire a caso il primo fesso che ci casca. In casi come questi il livello di difficolta` aumenta di 10 volte. Evitare questo genere di attacchi diventa enormemente piu` difficile, e non e` qualcosa che posso sintetizzare qui in poche righe.
Line 90: Line 114:
 * Compromissione account e dirottamento dei pagamenti
  * Compromissione account email e dirottamento dei pagamenti
 * Furto di informazioni riservate
 * Danneggiamento non ovviamente evidente dei dati, allo scopo di rendere inefficace il backup

Bozza di corso sul malware

Questi appunti riguardano una bozza di un breve corso per difendersi dal malware.

Il ransomware per email

Il 99% del malware attualmente (2016-inizio 2017) ricevuto per email e` del tipo "Ransomware", ovvero i figli del Cryptolocker. Questo software rende illeggibili i files su tutti i dischi e gli share di rete raggiungibili dall'utente che ha eseguito il malware in questione, e chiede un riscatto anche molto elevato (migliaia di euro) sotto forma di Bitcoin o altra criptovaluta. Nuove evoluzioni di questo tipo di malware aggiungono anche nuove funzionalita`: per esempio oltre a chiedere il riscatto provvedono a leggere e sottrarre una serie di dati utili (indirizzi email, password, eccetera).

Tipicamente questo malware arriva sotto forma di finte fatture, finti documenti fiscali, finte multe, finte ingiunzioni legali, e anche semplicemente finte immagini, finti MMS, finti contatti e aggiornamenti di qualche social network.

Il compito della persona che riceve queste email e` semplicemente quello di prestare attenzione per evitare di aprire tutto cio` che arriva. Sembra difficile ma non lo e`. Vediamo come possiamo difenderci, partendo dalle valutazioni piu` semplici e andando verso quelle piu` complesse.

Email palesemente false

  • Lingua: se riceviamo email in una lingua che non e` la nostra, e non abbiamo un buon motivo per riceverle, possiamo cestinarle senza pensarci.
  • Palesi assurdita`:
    • Il ministero delle Finanze non ci mandera` mai una cartella esattoriale via email.
    • Il governo spagnolo non ci mandera` per email una multa per una violazione del codice della strada.
    • Se non siamo clienti di Vodafone, non riceveremo mai una fattura di Vodafone via email. (questo vale per qualsiasi fornitore, Telecom, Enel, eccetera)
    • La polizia postale non ci intimera` mai a mezzo email o pagina web di pagare una multa per aver visto materiale pornografico illegale online.
    • Se non siamo iscritti a un determinato sito o servizio, come mai ci arrivano notifiche di nuovi messaggi per noi su questo sito o servizio?
    • Nessuno usa piu` gli MMS. Se vi arriva un MMS per email, buttatelo via. Se poi era davvero un MMS era sicuramente una vignetta stupida. Non avete perso nulla di importante.

Email false meno riconoscibili

Ci sono casi nei quali una email falsa puo` sembrare valida, vuoi perche` ha una veste grafica "credibile", vuoi perche` sembra provenire da un fornitore che in effetti usiamo (un corriere, Enel, Telecom, ecc). Per riconoscere i falsi in questo caso occorre applicarsi con un poco piu` di attenzione.

  • Errori grammaticali: spesso le email false sono state scritte in italiano da una persona non madrelingua, o da un traduttore automatico. Usano termini errati, modi di dire che non hanno senso, o vi sono semplicemente diversi errori di grammatica. Leggete il testo della mail (senza aprire allegati e senza cliccare link) facendo attenzione a come e` scritto. "Pregasi di aprire il fattura allegato" NON E` ITALIANO.
  • Errori nei dati: riceviamo una finta bolletta Enel che sembra ad una prima occhiata essere autentica, ma il codice cliente non e` il nostro, e il codice fiscale non solo non e` il nostro, ma non e` nemmeno un codice fiscale valido (ovvero non e` composto di lettere e numeri come ci aspetteremmo).
  • Errori nei dati: L'intestazione della azienda emittente la finta bolletta e` totalmente inesatta (per esempio riporta la dicitura "numero Registro Imprese" seguita da un codice che sicuramente non puo` essere un numero di Registro Imprese.)
  • Errori nei dati: La finta bolletta riporta un ammontare assurdo (troppo alto / troppo basso) rispetto alla media delle nostre reali bollette.

  • Mittente fasullo: Passando il mouse sopra l'indirizzo del mittente (o visualizzando detto indirizzo nel modo previsto dal nostro sistema di email) vediamo che il mittente ha un indirizzo che non ha chiaramente nulla a che fare con chi ci vuole far credere di essere. Per esempio, una fattura dell' Enel che arriva da "rossi64@hotmail.it" non credo proprio che sia vera.

  • Link (collegamenti da cliccare) che puntano a siti che non hanno niente a che fare con il sito istituzionale dell'azienda emittente il finto documento. Per esempio, portando il cursore sopra al collegamento o al bottone che ci viene chiesto di cliccare, vediamo un indirizzo che chiaramente non ha a che fare con l'azienda in questione.
  • Anomalie di processo: per 20 anni Enel ci ha mandato la bolletta di carta, nessuno ha chiesto il cambio con la fatturazione per email, e ci arriva una bolletta per email. Perche` mai dovrebbero averci mandato una bolletta per email, cosi`, all'improvviso, senza motivo alcuno?
  • Assenza di informazioni: se una mail contiene un allegato e una mezza riga di testo che dice "ecco i documenti per te" o giu` di li`, facciamo attenzione. Tipicamente una mail fra una azienda e il suo cliente contiene piu` informazioni di una semplice breve frase come "ecco i documenti". Ci sono stati un paio di casi eclatanti di mail legittime contenenti appunto la sola dicitura "documenti allegati" o simile. A mio avviso in questo caso e` giusto che siano state cancellate senza leggerle.
  • Altro caso di assenza di informazioni: se riceviamo una mail autentica da un servizio online (una banca, per esempio) questa di solito contiene informazioni personali complete e sensate, come per esempio il nostro nome e cognome (completo) o l'intestazione (esatta) dell'azienda. La presenza di queste informazioni complete ed esatte e` una indicazione che questa email e` in effetti lecita (oppure e` un falso fatto molto bene).

Allegati nocivi

In alcuni casi le finte email ci chiedono di cliccare su un link che ci porta a un sito, in altri casi invece contengono degli allegati in vari formati (doc, pdf, xls, exe, com, js, scr, zip, eccetera). Ci sono degli allegati che sono sicuramente nocivi, e altri che potrebbero non esserlo ma potrebbero anche esserlo.

Sono sicuramente nocivi (a meno che la fonte non sia assolutamente affidabile, ma nel dubbio non apriteli):

  • js
  • exe
  • com
  • scr

Possono essere nocivi

  • pdf
  • doc
  • xls
  • zip
  • wma
  • wmv
  • mp3
  • e fondamentalmente qualsiasi altro tipo di allegato puo` nascondere qualche insidia.

Per difendersi dagli allegati nocivi e` importante imparare a riconoscere l'estensione di un file (quella vera) e per questo e` fondamentale impostare il proprio PC per mostrare SEMPRE le estensioni dei files.

E` altrettanto importante, aprendo un documento di Office, se appare una richiesta che chiede di eseguire le macro contenute nel documento, rispondere di NO e chiudere subito il documento. Molte volte il malware e` sotto forma di macro di Office, e il documento e` impostato per "spiegare" alla vittima che per poter leggere quel documento e` proprio necessario attivare le macro. Arriva al punto da spiegare passo passo come fare per attivarle. Se vedete una cosa del genere, NON fate cio` che vi viene chiesto, chiudete il documento e avvisate il vostro tecnico.

Una nota sul files compressi (ZIP, RAR, ARJ, eccetera)

Spesso i malware arrivano sotto forma di file eseguibile (exe, com, js, scr, ecc) compresso dentro a uno ZIP (raramente RAR). Se dovesse capitarvi qualcosa che sembra essere legittimo, aprite lo zip e poi FERMATEVI. Prima di cliccare alla cieca sul contenuto dello ZIP, controllate bene che non sia un file eseguibile.

Una nota sulla PEC

La PEC non e` "al sicuro", e` anche essa veicolo dello stesso tipo di malware che arriva per email tradizionale. Non fatevi ingannare dalla falsa idea che "la PEC e` ufficiale e quindi e` sicura".

Mittenti noti

Purtroppo puo` succedere che vi arrivino email contenenti malware che apparentemente vengono da mittenti a voi noti. Questo succede perche` al mittente in questione e` stata rubata (a mezzo di malware, ovviamente) la rubrica. Mandare una mail usando un mittente noto e` un modo perfetto per infettarvi, perche` ovviamente il mittente noto ispira fiducia. Come possiamo difenderci? Controllando se l'allegato e` un eseguibile, per esempio. Verificando che il testo della mail sia qualcosa di sensato, qualcosa che il nostro mittente avrebbe davvero potuto scriverci. Se abbiamo dubbi, alla peggio, telefoniamo al mittente e chiediamo.

Altri tipi di email nocive

Altri tipi di email "nocive" sono quelle che inducono a fornire a qualcuno i nostri dati (username e password della banca, della mail, di Ebay, di Facebook, di Paypal, dei nostri computer, o numeri di carte di credito o simili). Questo tipo di email, note come "phishing" (ovvero "andare a pesca", dove noi siamo i pesci che abboccano) sono meno comuni in questo periodo, ma comunque esistono e sono pericolose anche esse.

Tipicamente queste email mirano a farvi visitare un sito dove vi verranno chiesti dati di accesso o carte di credito. Questi siti somigliano a quelli legittimi (la vostra banca, paypal, ebay, ecc) ma non sono quelli legittimi. Raramente vi chiedono semplicemente di rispondere alla mail indicando username e password di sistemi informatici. Non fatelo MAI.

Queste email possono essere riconosciute piu` o meno usando gli stessi metodi indicati in precedenza.

  • Lingua che non e` la vostra
  • Palesi errori grammaticali
  • Fornitori che non usate
  • Mittente falso
  • Link a siti che sembrano quelli giusti ma non lo sono
  • Informazioni generiche e incomplete (email da un fantomatico "servizio assistenza tecnica" che se ci pensate un momento non avete idea di chi sia e cosa voglia)

Esempi classici di queste mail, ricorrenti ogni qualche mese, sono quelle delle poste italiane, di qualche banca, o il classico dei classici, "il tuo Apple ID e` stato bloccato".

Attacchi avanzati

Se la vostra azienda diventa bersagio "interessante", puo` essere soggetta ad attacchi mirati. Frodi pensate e organizzate esattamente per colpire VOI, e non per colpire a caso il primo fesso che ci casca. In casi come questi il livello di difficolta` aumenta di 10 volte. Evitare questo genere di attacchi diventa enormemente piu` difficile, e non e` qualcosa che posso sintetizzare qui in poche righe.

  • Spear phishing / Social engineering
  • Compromissione account email e dirottamento dei pagamenti
  • Furto di informazioni riservate
  • Danneggiamento non ovviamente evidente dei dati, allo scopo di rendere inefficace il backup

Come comportarsi in caso di dubbi

In ogni caso se ci sono dei dubbi inoltrate la mail a un esperto (il vostro tecnico informatico per esempio) chiedendo di controllarla, e NON APRITE NESSUN ALLEGATO, NE` CLICCATE SU ALCUN LINK.

Se dopo aver aperto un allegato o un link vi rendete conto che l'allegato non si apre / non funziona o il link non contiene cio` che vi aspettavate, dovete IMMEDIATAMENTE spegnere il vostro PC (anche staccando la spina se necessario, rapidamente come se stesse per esplodere) e chiamare il tecnico.

Malware (last edited 2017-05-18 12:42:54 by Kurgan)