I malware si diffondono anche attraverso le caselle di posta elettronica certificata

Le caselle PEC non possono essere considerate intrinsecamente sicure: a nulla vale l'utilizzo del protocollo TLS se non si utilizza il buon senso e si dà credito a messaggi provenienti da fonti inaffidabili.

Le caselle di posta elettronica certificata (PEC) vengono da molti considerate (erroneamente) come più affidabili rispetto alle caselle email di tipo tradizionale.
In realtà gli account PEC sono esposti, né più né meno, alle stesse minacce di un indirizzo di posta elettronica qualunque. Anzi, come abbiamo visto nell’articolo Attenzione agli attacchi phishing sulle caselle PEC degli ordini professionali, gli aggressori possono oggi risalire all’indirizzo PEC di ciascun professionista incrociando i dati presenti sui siti web dei vari ordini con quelli ricercabili nel database INI-PEC mantenuto dal Ministero dello Sviluppo Economico e da InfoCamere.

Facilissimo quindi “bersagliare” specifici gruppi di professionisti inviando loro email all’apparenza attendibili e somiglianti a comunicazioni istituzionali o strettamente correlate con l’attività svolta.

Inoltre, nel caso in cui la casella PEC di un utente venisse violata (ad esempio perché l’utente ha effettuato l’autenticazione al suo account di posta su dispositivi inaffidabili controllati da soggetti terzi) o perché ha inconsapevolmente aperto le porte all’installazione di un componente malware sul suo PC, smartphone o dispositivo di qualunque genere, i criminali informatici possono essere nelle condizioni di sottrarre gli indirizzi PEC di altri contatti e iniziare a spedirvi email usando l’account dell’utente.

Come abbiamo spiegato nell’articolo Ransomware FTCODE sulle caselle di posta elettronica certificata (PEC), ci è capitato più volte di imbatterci in messaggi phishing o contenenti allegati dannosi spediti da caselle PEC di altri utenti. Analizzando le intestazioni del messaggio PEC, si vedrà che in molti casi il messaggio malevolo è partito dai server del gestore di posta elettronica certificata.
Ciò è possibile, evidentemente, allorquando le credenziali di accesso alla casella PEC fossero state sottratte agli utenti da parte dei criminali informatici.

Aruba, società che gestisce oltre 2,6 milioni di domini, più di 8,6 milioni di caselle email e oltre 6 milioni di caselle PEC, fa eco a un comunicato diramato recentemente da AssoCertificatori, Associazione dei Prestatori Italiani di Servizi Fiduciari Qualificati e dei Gestori Accreditati, riassumendo alcune semplici ma efficaci regole per non correre rischi:

– avere cura della propria password (non salvare le credenziali di accesso alla casella PEC nei vari form di accesso online; non salvare la propria password all’interno di file mantenuti sui dispositivi; non utilizzare la medesima password per più applicativi; non comunicare la password a terzi)
– non cliccare su link presenti nei messaggi di posta se non si è sicuri che la URL a cui fanno riferimento sia lecita
– non scaricare gli allegati di mittenti sconosciuti
– prima di aprire un allegato non atteso chiedere conferma al mittente
– effettuare una scansione antimalware della propria postazione e degli allegati che si intendono aprire con software aggiornato e proveniente da fonti attendibili
– non eseguire le macro eventualmente contenute nei documenti Microsoft Office
– valutare con attenzione il contenuto dei messaggi: gli istituti di credito, come anche un provider, non chiedono di inserire dati sensibili all’interno di form online.

Ad attirare l’attenzione dei criminali informatici è stata probabilmente l’enorme diffusione della PEC in Italia, con oltre 10 milioni e mezzo di caselle attive e quasi 430 milioni di messaggi scambiati nel bimestre marzo-aprile 2019 (fonte AgID)“, scrive Aruba, “ma attraverso accorgimenti comportamentali, tecnici e buon senso è possibile continuare a difendere le proprie caselle di posta elettronica certificata e, più in generale, i propri dati“.

Da un lato, quindi, è fondamentale porre la massima attenzione sui messaggi PEC che si ricevono, anche se apparentemente provenienti da mittenti fidati; dall’altro, è bene proteggere le proprie credenziali di accesso, aggiornare tutti i software che potrebbero essere usati come “testa di ponte” per caricare codice nocivo in modalità remota e non scaricare e avviabile eseguibili, script e documenti di dubbia provenienza.

Ti consigliamo anche

Link copiato negli appunti