L’ampia diffusione di ransomware come Cryptolocker, TorrentLocker, CryptoWall e varianti, è sintomo evidente del fatto che molti utenti, ancor oggi, hanno difficoltà nel riconoscere le email phishing. Nella maggior parte dei casi, dovrebbe essere piuttosto semplice riconoscere le truffe via mail e capire quando un messaggio, recapitato nella propria casella di posta è stato realizzato con lo scopo primario di provocare l’installazione di malware o di carpire informazioni personali e dati sensibili.
L’antimalware resta ovviamente uno dei più validi alleati, soprattutto se integra strumenti per la scansione della posta elettronica in arrivo e protezione antiphishing, ma è sempre bene non porvi mai troppo affidamento.
Non è detto, infatti, che l’antimalware sia in grado di riconoscere automaticamente tutte le minacce proteggendo l’utente in maniera proattiva.
Prodotti software per la sicurezza del sistema o della rete locale che si basano prevalentemente sull’utilizzo dei database delle firme virali possono fallire non rilevando una minaccia malware di più recente concezione.
È capitato più volte, anche nel caso dei ransomware che nessun motore di scansione antivirus riconoscesse la minaccia a distanza di parecchie ore dalla comparsa in rete dei primi campioni malware.
Appare quindi evidente come la sola protezione dell’antimalware non possa essere considerata sufficiente per scongiurare qualsiasi rischio.
Ancor oggi, chi sviluppa malware o comunque ha interesse a rastrellare dati personali degli utenti, utilizza pesanti campagne phishing.
Nelle caselle di posta degli utenti vengono inviate email truffaldine che mirano ad indurre i destinatari dei messaggi phishing a dar credito al contenuto delle missive. Spesso, quindi, le email vengono confezionate in modo tale da apparire il più possibile veritiere quando, in realtà, non lo sono affatto.
Si fa ad esempio riferimento a presunti ordini di prodotti e servizi, consegne da parte dei principali corrieri, comunicazioni da parte di istituti bancari o gestori di carte di credito, pagamenti scaduti, tasse, fatture da parte dei principali operatori telefonici, fornitori di servizi di hosting e così via.
Di solito gli autori delle truffe via mail impostano come mittente l’indirizzo email del supporto clienti di un’azienda, di una banca o, addirittura, di un conoscente del destinatario del messaggio.
L’obiettivo è, ovviamente, quello di acquisire la fiducia del destinatario del messaggio ed indurlo ad eseguire l’allegato malevolo o compiere le operazioni suggerite nel messaggio truffaldino.
Un’email phishing non si riconosce dall’indirizzo email del mittente
Per riconoscere email phishing non bisogna assolutamente fermarsi ad osservare il solo indirizzo di posta del mittente.
Il mittente di un’email è falsificabile da chiunque, senza alcun problema. Questa pratica, chiamata email spoofing, è quotidianamente messa in atto da tutti gli spammers e da chi pone in essere campagne phishing.
È bene quindi agire sempre con la massima cautela considerando che il vero mittente di un messaggio può non essere quello indicato. Ciò a meno che all’email non siano associati record SPF (Sender Policy Framework; un metodo per limitare gli abusi sul nome del mittente nei messaggi di posta elettronica), DKIM (DomainKeys Identified Mail; meccanismo usato per associare un nome a dominio ad un messaggio di posta usando una firma digitale che può essere validata dai destinatari) o comunque l’email non presenti in allegato una firma digitale valida.
In questi tre casi è possibile considerare l’email come valida e perfettamente legittima.
In caso di dubbio sulla provenienza di un messaggio, una buona mossa è certamente quella di analizzare le intestazioni (headers) del messaggio. Le intestazioni del messaggio, infatti, offrono importantissime indicazioni circa i sistemi in cui l’email è stata generata, compresa la loro posizione geografica, nonché sui sistemi utilizzati per la spedizione (SMTP) ed il recapito fino alla destinazione.
L’email truffaldina può riportare come mittenti anche gli indirizzi email di persone conosciute. Ciò può avvenire allorquando i truffatori abbiano precedentemente acquisito, in diversi modi (informazioni razziate sui sistemi di altri utenti o direttamente presso i fornitori dei servizi di posta), rubriche dei contatti.
Attenzione agli eventuali allegati
In caso di dubbi è sempre bene evitare di aprire o eseguire l’eventuale allegato ricevuto insieme con il messaggio di posta elettronica.
Il primo consiglio è, innanzi tutto, quello di non lasciarsi trarre in inganno dal trucchetto della doppia estensione.
Gli sviluppatori di malware fanno leva su una configurazione di default che è attivata in tutte le versioni di Windows. Per impostazione predefinita, infatti, il sistema operativo non visualizza le estensioni conosciute; non mostra, quindi, le estensioni per i file DOC, PDF, ZIP, XLS, EXE e così via.
Risultato? Un file chiamato fattura.pdf potrebbe essere invece memorizzato a livello di file system come fattura.pdf.exe (si noti la doppia estensione). Cliccando due volte su quello che all’apparenza può sembrare un documento in formato PDF, si eseguirà invece un file malevolo (estensione .EXE).
Per le minacce già note, comunque, il servizio VirusTotal consente di ottenere una chiara indicazione circa la potenziale pericolosità dell’allegato oggetto di analisi.
Qualora si nutrissero comunque dei dubbi, si può utilizzare DeepViz, un servizio che esegue il file (allegato) potenzialmente dannoso in una macchina virtuale remota ed offre alcune indicazioni circa il suo comportamento.
Link fasulli nell’email phishing
Massima attenzione dev’essere riposta non soltanto sugli allegati ma anche sugli eventuali link presenti nell’email ricevuta. Link che all’apparenza fanno riferimento a siti web legittimi, possono puntare invece a server web gestiti da criminali informatici.
Lasciando per qualche istante il puntatore del mouse su tali link, dal client di posta o dalla webmail, si dovrebbe leggere nella parte inferiore della finestra il reale indirizzo di destinazione. In alternativa, come già visto nel caso delle intestazioni, è possibile accedere al sorgente del messaggio e controllare a quale indirizzo remoto punta ciascun link (tag HTML a href).
Se si decidesse di seguire un link riportato nell’email ritenuta legittima, si osservi bene quanto visualizzato nella barra degli indirizzi del browser.
Tutte le società più importanti, infatti, utilizzano connessioni HTTPS (consentono di proteggere i dati trasferiti da client a server e viceversa) e certificati digitali EV SSL.
Nel caso dei certificati EV-SSL, l’autorità responsabile dell’emissione del certificato digitale verifica attentamente l’identità del richiedente garantendola con la massima certezza.
Tutti i principali browser visualizzano il colore verde nella barra degli indirizzi (insieme con l’icona del lucchetto) quando si ha a che fare con un certificato EV-SSL perfettamente valido.
Certificati digitali non attendibili, revocati, scaduti o sconosciuti sono sintomo di qualcosa che non va.
Fino a qualche tempo fa uno dei suggerimenti più “gettonati”, rivolti soprattutto ai meno esperti, era quello di astenersi dal fornire dati personali sui siti web che non provocano la comparsa, nel browser, dell’icona a forma di lucchetto e che quindi non utilizzano HTTPS e certificato digitale.
Questo consiglio, com’è facile intuire, non è ormai più sufficiente.
I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito.
Chi effettua campagne phishing ed allestisce siti web truffaldini può così richiedere facilmente ed utilizzare un certificato valido a tutti gli effetti.
Allestendo un sito chiamato, ad esempio, clienti-nomebanca.com, e caricando, sul server web, il certificato digitale richiesto per il dominio clienti-nomebanca.com, l’utente vedrà comparire il lucchetto e si sentirà rassicurato. In realtà i suoi dati andrebbero direttamente nelle mani dei criminali informatici.
La comparsa del lucchetto di colore verde è invece ad oggi un’ottima tutela, soprattutto quando l’utente ha cura di verificare il soggetto a cui è stato fornito il certificato digitale.