Come indentificare una email infetta da virus?

Lo Spam e il phishing sono due delle tecniche più efficaci che i criminali adottano per ottenere introiti illeciti

Quanto più l'uomo è dipendente dalle tecnologie, e in special modo da internet, tanto più ci imbattiamo in cyber delinquenti organizzati in veri e propri gruppi criminali, che si impegnano attivamente nel portare avanti progetti truffaldini con il fine di derubare vittime ignare. Infatti, gli esperti credono che il crimine disorganizzato abbia cessato di esistere da tanto tempo ormai. Mentre alcuni sono portati a credere che i cyber criminali siano hacker professionisti in grado di conoscere i codici utili a immettersi nei sistemi di sicurezza e persino controllare da remoto i computer degli utenti, ma la realtà è tutt'altro che questa.

Nella maggior parte dei casi, i cyber criminali sono solo abili truffatori che si servono dell'ingegneria sociale per indurre gli utenti ad istallare malware nei propri computer. L'impiego di spam e phishing finalizzata alla proliferazione dei malware ne è l'esempio lampante, e, in realtà, potrebbe essere definito come la logica evoluzione del cyber crimine. Infatti, non è assolutamente necessario impiegare ore e ore nella creazione di elaborati piani di attacco, quando tutto ciò che serve per hackerare una rete di computer è convincere un dipendente ingenuo ad aprire un allegato e-mail che all'apparenza potrebbe sembrare solo un CV di un candidato.

È stato provato che alcune tecniche sono altamente efficaci e in grado di accellerare considerevolmente la distribuzione del malware. Ad esempio, il 2016 è ampiamente noto come l'anno del ransomware, e il fatto che addirittura il 93% delle e-mail di phishing del primo trimestre del 2016 contenesse il ransomware ne è la semplice dimostrazione. Chiaramente, vi sono valide motivazioni per credere che nel 2017 lo spam e il phishing raggiungeranno numeri ancor più alti.

Le e-mail infettate da malware rappresentano il veicolo più efficiente per gli attacchi informatici . Gli Spammers sono sempre pronti a sfruttare gli eventi (eventi sportivi, vendite, scadenze delle tasse, ecc) e spediscono centinaia di e-mail a tema, sebbene alcuni stratagemmi facciao sempre breccia in ogni momento dell'anno. Gli esempi riportati qui in basso svelano quali sono le e-mail tipicamente utilizzate per la proliferazione dei malware. Ci auguriamo che questi esempi ti aiutino ad identificare le e-mail di phishing in un prossimo futuro e che ti rendano un po' più scettico circa l'affidabilità delle e-mail ricevute da utenti sconosciuti.

Esempi di e-mail di spam malevole

Esempio N° 1: E-mail di candidatura con Curriculum Vitae

Le e-mail di phishing contenenti in allegato un CV sono generalmente inviate ai reclutatori, manager o dirigenti di aziende che si occupano di selezionare il personale. Queste e-mail, in genere, contengono solo poche righe e invitano il lettore ad aprire il curriculum in allegato. Tipicamente, gli scammers si aspettano di infettare un'azienda in particolare o un'oganizzazione del settore sanitario. Tali e-mail sono maggiormente adoperate dalle aziende di spam come CryptoWall 3.0, GoldenEye, e Cerber. Ecco alcuni esempi di e-mail di phishing:

Esempio N° 2: E-mail di phishing che sembrano provenire dal gigante digitale dell'eCommerce, Amazon

I cyber criminali di solito tentano di truffare gli utenti di Amazon con false e-mail inviate da account e-mail fittizi che a primo impatto sembrano legittime. Queste e-mail di phishing possono essere adoperate per derubare le vittime o inviare allegati e-mail malevoli, di modo che possano importare nel computer virus malevoli. Ad esempio, gli scammers si servono dell'indirizzo e-mail [email protected] per spedire centinaia di e-mail contenenti il virus Locky ransomware. Queste e-mail includono generalmente questo genere di testo nell'oggetto: “Il tuo ordine Amazon.it è stato spedito (#numero_ordine)” e riporta un allegato in formato ZIP, contenente un file JS il quale, una volta aperto, scarica il ransomware da un determinato sito web . In basso, potrai osservare un esempio di e-mail malevola contenente un Locky e un esempio di cosa è accaduto nel corso dell'analisi di Spora sulla campagna di distribuzione.

Esempio N° 3: Fatture

Un'altra tecnica di successo in grado di diffondere il ransomware Locky ha visto il coinvolgimento di e-mail di phishing riportanti l'allegato denominato “All'attenzione di: Fattura -[codice casuale].” Queste e-mail ingannevoli generalmente contengono poche righe di testo nel campo del messaggio, e chiedono alla vittima di “verificare la fattura in allegato (Documento di Microsoft Word)”. L'unico problema è che il documento word contiene script malevoli in grado di attivarsi mediante la funzione Macro. Qui in basso, un esempio della e-mail di phishing appena descritta.

Esempio n°4: E-mail di spam che sfrutta il tema dei più grandi eventi sportivi

Ami lo sport? Allora, dovresti stare alla larga dalle e-mail di spam che trattano di sport. Ultimamente, i ricercatori che lavorano per Kaspersky hanno notato un incremento esponenziale delle e-mail indirizzate agli utenti interessati ai Campionati di Football Europeo, Campionati di coppa imminenti del 2018 e 2022, nonché i Giochi Olimpici del Brasile. Questo genere di messaggi cotengono un allegato in formato ZIP contentente un Trojan (file in grado di scaricare altri malware) sotto forma di file JavaScript. Secondo gli esperti, il Trojan è programmato per scaricare altri malware sul computer. Ecco un esempio di un messaggio malevolo.

Esempio N° 5. E-mail di spam con tematica terrorista

Le frodi informatiche non si dimenticano del terrorismo, il quale si rivela essere una delle tematiche di maggiore interesse. Non c'è da sorprenderci che questo tema venga utilizzato anche nelle e-mail di spam. Le e-mail a tema terrorismo sono le preferite dai criminali; tuttavia, dovresti sapere cosa aspettarti. Ecco un esempio di messaggio di questo genere. Secondo quanto riferito, questo genere di spam è generalmente adoperato per rubare i dati personali, portare a termine attacchi DDoS e diffondere malware.

Esempio N° 6: E-mail che forniscono “report di sicurezza”

I ricercatori hanno individuato numerose e-mail in grado di distribuire documenti Word malevoli. Pare che anche in questo caso i documenti contengano elementi macro infetti in grado di scaricare e avviare il ransomware CryptXXX una volta che la vittima abbia attivato la funzionalità richiesta. Questo genere di e-mail contengono il seguente testo nella casella di messaggio: “Violazione della sicurezza – Rapporto di sicurezza #[codice casuale].” Il messaggio contiene l'IP della vittima e la localizzazione del computer, di modo che la vittima abbia la sensazione di star leggendo un messaggio autentico e affidabile. Il messaggio mette in guardia la vittima riguardo a minacce inesistenti come, ad esempio, violazioni della sicurezza apparentemente prevenute e suggerisce di controllare il report allegato al messaggio. Chiaramente, l'allegato è malevolo.

Esempio N° 7. Gli spam malevoli presumibilmente sono inviati da aziende di fiducia

Per convincere la vittima ad aprire il file allegati all'e-mail, i truffatori fingono di essere chi in realtà non sono. Il modo più semplice per indurre un utente ad aprire il file allegato è quello di creare un account e-mail malevolo che sia quasi identico a quello dell'azienda vera. Utilizzando questo genere di account e-mail falsi, i truffatori agganciano gli utenti con e-mail scritte in modo convincente e trasportano al loro interno un carico di dati dannoso nel file allegato. L'esempio in basso mostra una e-mail inviata da truffatori che fingono di lavorare per Europcar.

L'esempio mostrato in alto mostra quale genere di messaggio è adoperato per attaccare i clienti dell'azienda A1 Telekom. Questo messaggio di phishing include un URL DropBox ingannevole che indirizza a file ZIP e JS malevoli. Altre analisi hanno rivelato che questi file contengono il virus Crypt0l0cker.

Esempio N° 8. Lavoro urgente dal tuo capo

Negli ultimi tempi, i truffatori hanno iniziato ad utilizzare un altro genere di inganno per truffare le vittime inconsapevoli nel giro di pochi minuti. Immagina di aver appena ricevuto una e-mail dal tuo capo: dice che si trova in vacanza e che desidera urgentemente che tu faccia alcuni pagamenti al suo posto per delle aziende, prima che sia irraggiungibile. Purtroppo, qualora dovessi seguire i suoi ordini senza verificare alcuni piccoli dettagli prima di fare quanto richiesto, potresti trasferire i soldi dell'azienda nelle mani dei criminali o, peggio, infettare l'intera rete di computer con un malware. Un altro modo per convincerti ad aprire allegati malevoli è quello di fingersi un tuo collega. Questo trucco potrebbe riuscire bene nel caso in cui lavorassi per una grande azienda e non conoscessi tutti i tuoi colleghi. Ecco un paio di esempi di e-mail di phishing qui in basso.

Esempio N° 9. E-mail di phishing a tema tasse

I truffatori seguono con molta attenzione le scadenze delle tasse delle diverse nazioni e regioni e non perdono occasione di inviare e-mail di spam alle aziende per distribuire programmi malevoli. Essi adoperano una serie di tattiche di ingegneria sociale per indurre le povere vittime a scaricare file malevoli corredati da lettere ingannevoli. Questo genere di allegati comprendono Trojans bancari (keyloggers) i quali, una volta installati, rubano le informazioni personali come il nome e il cognome della vittima, i login, le informazioni della carta di credito, e dati simili. Il programma malevolo resta in attesa di essere aperto in un allegato di un'e-mail malevola o in un link inserito all'interno del messaggio. In basso, potrai osservare un esempio di e-mail corredata di ricevuta fasulla per la dichiarazione dei redditi, la quale in realtà è un cavallo di Troia.

I truffatori, inoltre, provano ad attirare l'attenzione dell'utente forzandolo ad aprire gli allegati malevoli, informandoli che vi è un'azione penale in corso. Il messaggio riportato induce l'utente a credere che vi sia un mandato di comparizione in allegato al messaggio. Chiaramente, il documento allegato non è assolutamente un mandato di comparizione, ma, al contrario, è un documento malevolo protetto che necessita di essere abilitato alla modifica. Come conseguenza, il codice malevolo contenuto nel documento scaricherà il malware nel computer.

L'ultimo esempio mostra come i truffatori tentino di indurre un commercialista ad aprire allegati malevoli. La e-mail sembra provenire da qualcuno in cerca di assistenza da parte di un commercialista, e, chiaramente, la e-mail conterrà al suo interno uno o due allegati. È un esempio tipico di documento Word malevolo in grado di attivare uno script e scaricare da un server remoto il malware non appena la vittima lo abbia aperto.

Come identificare le e-mail malevole e proteggersi?

Vi sono alcune regole principali per tentare di aggirare le truffe da parte di queste e-mail malevole.

• Dimenticati della cartella Spam. Non vi è alcuna ragione per la quale le e-mail debbano finire nella sezione Spam. Ciò vuol dire che nel caso una e-mail finisse in quella categoria, il filtro avrà automaticamente intercettato che la stessa e-mail è stata inviata a centinaia di persone, o che un vasto numero di utenti ha già contrassegnato tale e-mail come spam. Le e-mail autentiche finiscono in tale cartella solo in rari casi. Per cui, meglio stare lontani dalla cartella Spam o Indesiderati.
• Verifica il mittente della e-mail prima di aprirla. Se non sei sicuro del mittente, non interagire con i contenuti di tale e-mail. Anche nel caso in cui tu sia in possesso di un programma antivirus o anti-malware, non fare clic su alcun link inserito nel messaggio e non aprire i file allegati senza prima rifletterci bene. Ricorda, persino il migliore programma di sicurezza potrebbe sbagliare nell'identificare un nuovo virus, nel caso fossi il primo ad averlo ricevuto dallo sviluppatore. Qualora non fossi sicuro del mittente, potrai sempre chiamare l'azienda e chiedere circa la e-mail che hai appena ricevuto.
• Aggiorna la sicurezza del tuo PC. È fondamentale che sul computer non vi siano programmi obsoleti in quanto potrebbero essere pieni di vulnerabilità. Per evitare un tale rischio, autorizza l'aggiornamento automatico dei software. Infine, utilizza un buon programma anti-malware per tenere lontani i programmi malevoli. Ricorda: solo un programma di sicurezza aggiornato è in grado di proteggere il tuo computer. Se stai usando un vecchio programma e tendenzialmente ritardi l'istallazione dei suoi aggiornamenti, stai permettendo consapevolmente ai programmi malevoli di entrare nel tuo computer, senza che essi vengano identificati o bloccati.
• Verifica che un URL sia sicuro senza fare clic sullo stesso. Se l'e-mail che hai ricevuto contiene un URL sospetto, passa il tuo mouse sullo stesso per verificare la sua validità. Dunque, dai uno sguardo in basso a sinistra del browser. Dovresti poter vedere il vero URL al quale verrai reindirizzato. Qualora sembrasse sospetto o finiscce con le estensioni .exe, .js o .zip, nella maniera più assoluta, non fare clic sul link!
• I criminali informatici hanno sempre scase doti di scrittura. Infatti, capita spesso che commettano errori di grammatica persino nella composizione di un breve messaggio di testo. Qualora ti accorgessi della presenza di errori, stai alla larga dall'URL inserito nel messaggio o dall'allegato.
• Non avere fretta! Se noti una certa insistenza e fretta da parte del mittente nel richiedere l'apertura di un allegato o di un particolare link, forse è meglio che non farlo. L'allegato probabilmente conterrà un malware.