Ancora alert da parte del CERT-PA riguardante cyber attacchi mirati contro utenti italiani. E' stata rilevata una vera e propria ondata di email di phishing indirizzata a indirizzi di posta PEC afferenti a strutture pubbliche, private o a soggetti iscritti a ordini professionali. Le email provengono da account PEC precedentemente compromessi. La campagna è ANCORA IN CORSO.
Le email fanno riferimento a false fatture con firma digitale: il formato è .p7m, solitamente usato da professionisti e funzionari della Pubblica Amministrazione che hanno la necessità di inviare progetti o documenti di testo autenticati. Tale formato permette infatti di accertare l'identità di chi lo utilizza e assicura l'integrità del documento: è collegato all'uso della firma digitale. L'uso di questo formato, del canale PEC e il testo copiato in forma esatta da una comunicazione reale (emessa da Sogei nel Sistema di Interscambio) rendono questa truffa molto molto insidiosa.
L'oggetto delle email è del tipo "Invio File <XXXXXXXXXX>", l'allegato dal nome tipo "ITYYYYYYYYYY_1bxpz.XML.p7m" è solo menzionato ma non è presente: una delle caratteristiche principali infatti di tale campagna è quella di non veicolare allegati dannosi. L'utente che riceve tale comunicazione potrà ritenere l'assenza di allegato come una banale dimenticanza del mittente: in realtà è solo un elemento che ribadisce e specifica che siamo di fronte ad un attacco di phishing mirato alla raccolta di informazioni.
L'altro elemento che rende chiaro e netto che ci si trova di fronte ad una campagna di phishing è il fatto che, nel testo, si fa riferimento ad un "nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio", indirizzo che, guarda caso coincide sempre col mittente della casella compromessa sotto il controllo dell'attaccante.
Ecco l'email di phishing:
Clicca sull'immagine per ingrandire. Fonte: https://www.cert-pa.it/ |
Il nome del mittente che viene mostrato corrisponde all'indirizzo PEC di un soggetto appartenente ad un ordine professionale e coincide con l'indirizzo del destinatario. Il mittente effettivo è la casella PEC di una società italiana. Sono 500 le caselle PEC compromesse usate per rinviare circa 265.000 email di phishing al giorno, almeno nell'ultima settimana.
Nell'aggiornamento di questa mattina, il CERT-PA ha fatto sapere di aver individuato anche, nel corpo email, un richiamo ad una risorsa remota: in dettaglio è un tracker che si abilita appena l'email viene aperta e che serve all'attaccante a monitorare l'andamento della campagna.
Che cosa fare?
Il metodo migliore per mettersi al riparo da questo attacco è NON RISPONDERE all'email, qualora si dovessero ricevere comunicazioni simili. In generale è consigliabile non rispondere ad indirizzi email non verificati o sconosciuti che invitano a modificare l'indirizzo email per future comunicazioni al Sistema di Interscambio.
Che cosa fare?
Il metodo migliore per mettersi al riparo da questo attacco è NON RISPONDERE all'email, qualora si dovessero ricevere comunicazioni simili. In generale è consigliabile non rispondere ad indirizzi email non verificati o sconosciuti che invitano a modificare l'indirizzo email per future comunicazioni al Sistema di Interscambio.
In breve - che cosa è il phishing:
Il phishing è una attività fraudolenta pensata per convincere con l’inganno le vittime a rivelare informazioni personali e/o confidenziali. Queste informazioni comprendono, di solito, i dettagli degli account bancari, numeri di carte di credito, indirizzi, numeri di telefono e così via. Ci sono varie modalità tramite le quali un cyber-criminale può lanciare un attacco di phishing contro una vittima designata: i vettorI più utilizzatI sono appunto caselle email compromesse.
Nessun commento:
Posta un commento