Attenzione alle false e-mail - Che cos'è

Quando si parla di rischi per la sicurezza dei propri dati, uno dei termini ormai tristemente noti è “phishing”. Si tratta, come sa chi ci è già incappato, di una tecnica con la quale si cerca di carpire informazioni riservate quali, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come la telebanca.

La tecnica con la quale si conduce questo attacco è sostanzialmente semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto, per esempio il tracking di un corriere o un’informativa della banca (o magari una comunicazione dell’Agenzia delle Entrate). Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante. il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome “phishing” proviene proprio dall’idea di “andare a pesca” di informazioni riservate.

Il furto di informazioni non è tuttavia l’unico rischio: le tecniche tipiche del phishing vengono infatti utilizzate per mettere in atto anche attacchi più pericolosi. Il sistema di base è lo stesso: si tenta di ingannare il destinatario dell’attacco e convincerlo a eseguire un’operazione “normale”, come cliccare su un link o aprire un file allegato che all’apparenza sembra di provenienza legittima o comunque innocuo. Lo scopo è quello di lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware.

Un esempio

L’Agenzia delle Entrate, in quanto Pubblica Amministrazione, non è ovviamente al riparo dallo sfruttamento truffaldino del proprio brand aziendale, da parte di malintenzionati, per tentare di dare legittimità a messaggi malevoli. L’esempio che segue è solo uno degli ultimi nei quali è stata coinvolta:

 

Questa mail, inviata da una fantomatica “Divisione Indagine” dell’Agenzia delle Entrate, fa riferimento a una presunta citazione relativa a una fattura non dichiarata e contiene un link tramite il quale sarebbe possibile visualizzare la fattura in questione e le informazioni circa il responsabile della citazione.

Il link presente all’interno del messaggio punta a una pagina contraffatta del sito dell’Agenzia, ospitata oltretutto su un dominio estremamente simile a quello istituzionale:

Da qui si possono scaricare dei documenti Excel malevoli protetti da password.