skip to Main Content

Cybercrime: Italia sotto attacco tra estorsioni, falsi pacchi e offerte di lavoro

L’Italia è sotto attacco tra estorsioni, falsi pacchi e offerte di lavoro. Il CSIRT Italia dell’ACN individua 3 campagne phishing: puntano a rubare soldi, dati sensibili o inoculare malware

Negli ultimi giorni sono in circolazione in Italia due campagne phishing particolarmente insidiose. Una è legata al presunto furto di dati sensibili della vittima e l’altra a fantomatiche spedizioni bloccate presso i corrieri. Non manca nemmeno la falsa offerta di lavoro, anche se qui l’obiettivo è diverso: infettare il computer della vittima con un malware. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha analizzato questi attacchi e in una nota spiega come difendersi:

L’estorsione via email

“Il tuo sito è stato hackerato”: comincia così l’email inviata da un ignoto criminale e analizzata dal Computer Security Incident Response Team (CSIRT Italia) dell’ACN. Poi ne è arrivata un’altra e un’altra ancora: si tratta di una vera e propria campagna via e-mail. Non è la prima volta che succede. Scopo dell’attore del cybercrime dietro alla truffa è ottenere un pagamento in Bitcoin per scongiurare la pubblicazione di dati aziendali sensibili, di cui sarebbe in possesso. Ma non è vero. Almeno in questo caso, è un’attività estorsiva che mira a spaventare i meno esperti e a indurli a pagare il riscatto.

Come proteggersi: Poiché in alcuni casi è stato rilevato l’utilizzo di dati aziendali precedentemente sottratti e resi pubblici per conferire legittimità alla comunicazione, lo CSIRT suggerisce agli utenti e alle organizzazioni eventualmente prese di mira da questa tipologia di attacchi di verificare scrupolosamente le e-mail ricevute. Inoltre, consiglia di attivare misure aggiuntive come il controllo dei dati di traffico, l’analisi delle infrastrutture, e di implementare sistemi di protezione aggiuntivi

I pacchi finti

“Non siamo stati in grado di consegnare il tuo pacco in quanto non c’era nessuno che potesse firmare la ricevuta di consegna. Siamo qui per informarti che abbiamo bisogno di una conferma: clicca qui per confermare”. Anche in questo caso l’avviso è plausibile, ma si tratta di una truffa. Cliccando e cliccando ancora sulle false conferme si arriva a una pagina che chiede il riepilogo dei propri dati per effettuare un pagamento su un “sito sicuro”, cioè una landing page che chiede alla vittima di inserire i riferimenti della propria carta di credito. Successivamente viene chiesto alla vittima di confermare l’acquisto inserendo un codice relativo al secondo fattore di autenticazione, facendo leva sui loghi della banca per rendere credibile la comunicazione. Una truffa ben congegnata.

Come proteggersi:

  • evitare di inserire i propri estremi bancari su portali di cui non si conosce l’affidabilità;
  • verificare scrupolosamente i mittenti delle e-mail ricevute e la relativa attendibilità;
  • nel caso in cui si fossero inseriti gli estremi della propria carta di credito contattare quanto prima il proprio Istituto bancario al fine di richiedere il blocco della carta utilizzata.

Un lavoro inesistente

“Siamo interessati al tuo profilo professionale. Se cerchi lavoro, contattaci”. L’annuncio, comparso su un famoso Social Network professionale sembra provenire da un recruiter legittimo, ma anche qui si tratta di una truffa. Una volta agganciata la vittima, gli viene chiesto di fare un colloquio di lavoro informale via Skype e di visualizzare un documento .pdf per valutare le condizioni offerte. Ma quel .pdf è un documento infetto che inocula un malware sul computer ospite.

Come proteggersi

  • assicurarsi sempre dell’attendibilità del Soggetto con cui si comunica richiedendo, ad esempio, un’e-mail aziendale o un contatto telefonico dell’azienda;
  • bloccare l’esecuzione di software non attendibile e non firmato
  • mantenere aggiornati i software antivirus, anti-malware, sistemi endpoint, ecc.;
  • non avviare file eseguibili se non si è certi della provenienza o della legittimità del contenuto.

La social engineering

Le tre campagne individuate dagli esperti di cybersecurity si basano tutte sull’ingegneria sociale e sfruttano la buona fede delle persone che, stanche o distratte, dovendo fare fronte a scadenze e urgenze, si fidano delle finte comunicazioni di cui i ladri digitali sono ormai esperti. Ma Che cos’è il social engineering? Il social engineering (ingegneria sociale) è una tecnica di manipolazione psicologica molto diffusa tra gli attori del cybercrime e alla base di numerose tipologie di attacchi cibernetici. Essa si qualifica come una strategia volta ad indurre e sfruttare l’errore umano per accedere in modo illegittimo a informazioni riservate, come ad esempio username e password, PIN del cellulare, numero di conti corrente, codici bancomat e carte di credito, e poi compiere operazioni fraudolente. Il CSIRT Italia invita tutti, pertanto, a diffidare da e-mail e richieste, anche via telefono ed SMS, da comunicazioni inattese o che ci chiedono di compiere subito un’azione che potrebbe andare a nostro discapito.

Back To Top