Bozza di corso sul malware

Questi appunti riguardano una bozza di un breve corso per difendersi dal malware.

Il ransomware per email

Il 99% del malware attualmente (febbraio 2016) ricevuto per email e` del tipo "Ransomware", ovvero i figli del Cryptolocker. Questo software rende illeggibili i files su tutti i dischi e gli share di rete raggiungibili dall'utente che ha eseguito il malware in questione, e chiede un riscatto che va da 500 a 50.000 euro.

Tipicamente questo malware arriva sotto forma di finte fatture, finti documenti fiscali, finte multe, finte ingiunzioni legali, e anche semplicemente finte immagini, finti MMS, finti contatti e aggiornamenti di qualche social network.

Il compito della persona che riceve queste email e` semplicemente quello di prestare attenzione per evitare di aprire tutto cio` che arriva. Sembra difficile ma non lo e`. Vediamo come possiamo difenderci, partendo dalle valutazioni piu` semplici e andando verso quelle piu` complesse.

Email palesemente false

• Lingua: se riceviamo email in una lingua che non e` la nostra, e non abbiamo un buon motivo per riceverle, possiamo cestinarle senza pensarci.
• Palesi assurdita`:
  • Il ministero delle Finanze non ci mandera` mai una cartella esattoriale via email.
  • Il governo spagnolo non ci mandera` per email una multa per una violazione del codice della strada.
  • Se non siamo clienti di Vodafone, non riceveremo mai una fattura di Vodafone via email. (questo vale per qualsiasi fornitore, Telecom, Enel, eccetera)

Email false meno riconoscibili

Ci sono casi nei quali una email falsa puo` sembrare valida, vuoi perche` ha una veste grafica "credibile", vuoi perche` sembra provenire da un fornitore che in effetti usiamo (un corriere, Enel, Telecom, ecc). Per riconoscere i falsi in questo caso occorre applicarsi con un poco piu` di attenzione.

• Errori grammaticali: spesso le email false sono state scritte in italiano da una persona non madrelingua, o da un traduttore automatico. Usano termini errati, modi di dire che non hanno senso, o vi sono semplicemente diversi errori di grammatica. Leggete il testo della mail (senza aprire allegati e senza cliccare link) facendo attenzione a come e` scritto.
• Errori nei dati: riceviamo una finta bolletta Enel che sembra ad una prima occhiata essere autentica, ma il codice cliente non e` il nostro, e il codice fiscale non solo non e` il nostro, ma non e` nemmeno un codice fiscale valido (ovvero non e` composto di lettere e numeri come ci aspetteremmo).
• Errori nei dati: L'intestazione della azienda emittente la finta bolletta e` totalmente inesatta (per esempio riporta la dicitura "numero Registro Imprese" seguita da un codice che sicuramente non puo` essere un numero di Registro Imprese.)
• Errori nei dati: La finta bolletta riporta un ammontare assurdo (troppo alto / troppo basso) rispetto alla media delle nostre reali bollette.

• Mittente fasullo: Passando il mouse sopra l'indirizzo del mittente (o visualizzando detto indirizzo nel modo previsto dal nostro sistema di email) vediamo che il mittente ha un indirizzo che non ha chiaramente nulla a che fare con chi ci vuole far credere di essere. Per esempio, una fattura dell' Enel che arriva da "rossi64@hotmail.it" non credo proprio che sia vera.

• Link (collegamenti da cliccare) che puntano a siti che non hanno niente a che fare con il sito istituzionale dell'azienda emittente il finto documento. Per esempio, portando il cursore sopra al collegamento o al bottone che ci viene chiesto di cliccare, vediamo un indirizzo che chiaramente non ha a che fare con l'azienda in questione.
• Assenza di informazioni: se una mail contiene un allegato e una mezza riga di testo che dice "ecco i documenti per te" o giu` di li`, facciamo attenzione. Tipicamente una mail fra una azienda e il suo cliente contiene piu` informazioni di una semplice breve frase come "ecco i documenti".
• Assenza di informazioni: se riceviamo una mail autentica da un servizio online (una banca, per esempio) questa di solito contiene informazioni personali complete e sensate, come per esempio il nostro nome e cognome (completo) o l'intestazione (esatta) dell'azienda. La presenza di queste informazioni complete ed esatte e` una indicazione che questa email e` in effetti lecita (oppure e` un falso fatto molto bene).

Allegati nocivi

In alcuni casi le finte email ci chiedono di cliccare su un link che ci porta a un sito, in altri casi invece contengono degli allegati in vari formati (doc, pdf, xls, exe, com, js, scr, zip, eccetera). Ci sono degli allegati che sono sicuramente nocivi, e altri che potrebbero non esserlo ma potrebbero anche esserlo.

Sono sicuramente nocivi (a meno che la fonte non sia assolutamente affidabile, ma nel dubbio non apriteli):

• js
• exe
• com
• scr

Possono essere nocivi

• pdf
• doc
• xls
• zip
• wma
• wmv
• mp3
• e fondamentalmente qualsiasi altro tipo di allegato puo` nascondere qualche insidia.

Per difendersi dagli allegati nocivi e` importante imparare a riconoscere l'estensione di un file (quella vera) e per questo e` fondamentale impostare il proprio PC per mostrare le estensioni dei files. E` altrettanto importante, aprendo un documento di Office, se appare una richiesta che chiede di eseguire le macro contenute nel documento, rispondere di NO e chiudere subito il documento.

Una nota sulla PEC

La PEC non e` "al sicuro", e` anche essa veicolo dello stesso tipo di malware che arriva per email tradizionale. Attenzione quindi.

Altri tipi di email nocive

Altri tipi di email "nocive" sono quelle che inducono a fornire a qualcuno i nostri dati (username e password della banca, della mail, di Ebay, di Facebook, di Paypal, dei nostri computer, o numeri di carte di credito o simili). Questo tipo di email, note come "phishing" (ovvero "andare a pesca", dove noi siamo i pesci che abboccano) sono meno comuni in questo periodo, ma comunque esistono e sono pericolose anche esse.

Tipicamente queste email mirano a farvi visitare un sito dove vi verranno chiesti dati di accesso o carte di credito. Questi siti somigliano a quelli legittimi (la vostra banca, paypal, ebay, ecc) ma non sono quelli legittimi. Raramente vi chiedono semplicemente di rispondere alla mail indicando username e password di sistemi informatici. Non fatelo MAI.

Queste email possono essere riconosciute piu` o meno usando gli stessi metodi indicati in precedenza.

• Lingua che non e` la vostra
• Palesi errori grammaticali
• Fornitori che non usate
• Mittente falso
• Link a siti che non sono quelli "giusti"
• Informazioni generiche e incomplete (email da un fantomatico "servizio assistenza tecnica" che se ci pensate un momento non avete idea di chi sia e cosa voglia)

Attacchi avanzati

• Spear phishing / Social engineering
• Compromissione account e dirottamento dei pagamenti

Come comportarsi in caso di dubbi

In ogni caso se ci sono dei dubbi inoltrate la mail a un esperto (il vostro tecnico informatico per esempio) chiedendo di controllarla, e NON APRITE NESSUN ALLEGATO, NE` CLICCATE SU ALCUN LINK.

Se dopo aver aperto un allegato o un link vi rendete conto che l'allegato non si apre / non funziona o il link non contiene cio` che vi aspettavate, dovete IMMEDIATAMENTE spegnere il vostro PC (anche staccando la spina se necessario, rapidamente come se stesse per esplodere) e chiamare il tecnico.