Ransomware via email: è facile cascarci!

Abbiamo sempre detto che la migliore protezione contro virus, malware e phisching è proprio l'utente! Informazione, formazione sono fondamentali per prevenire i Ransomware e aumentare la sicurezza dei nostri dati.
Tuttavia i casi di infezione continuano ad aumentare in modo significativo e questo perchè l'attenzione e la giusta cautela nell’uso della posta elettronica non sono comportamenti diffusi.
Secondo la Kaspersky Lab ZAO (azienda specializzata nella produzione di software per la sicurezza informatica) circa il 60% dei pc aziendali ha subito almeno un tentativo di infezione malware ed un computer su tre è stato esposto almeno una volta a un attacco via Internet. 

Un caso eclatante lo abbiamo trovato in un articolo pubblicato su PMI.it di venerdì 15 settembre. Si tratta di un ragazzo nigeriano che con un email phishing di scarsissima qualità ha comunque ottenuto diverse infezioni per un controvalore di migliaia di dollari.

Maya Horowitz, Threat Intelligence Group Manager for Check Point ha dichiarato:

“Nonostante questo individuo utilizzasse e-mail di phishing di bassa qualità e malware generici che è facile trovare on-line, la sua campagna è stata in grado di infettare diverse aziende e colpirne migliaia in tutto il mondo. Questo mostra quanto sia facile per un hacker relativamente poco qualificato lanciare una campagna su larga scala in grado di violare con successo le difese di grandi aziende e che gli consenta di commettere frodi”.

Sono sufficienti poche piccole accortezze da mettere in pratica nel momento in cui riceviamo una mail per rilevare possibili situazioni di pericolo e prevenire che un cryptovirus comprometta i nostri dati.

Quando riceviamo una email mettiamoci un po' di attenzione e poniamoci alcune domande: ci aiuterà a capire se la mail che abbiamo ricevuto è pericolosa oppure no.

1. Stavo aspettando una mail di questo tipo? 

Deve esserci una coerenza, un’attinenza tra la mail ricevuta e il contesto nel quale utilizziamo quella casella, è normale che la riceva in questo momento, oppure me la sarei dovuta aspettare tra un mese o due? Mi chiede di fare cose diverse da quelle che ho fatto fino ad ora o di tenere comportamenti diversi da quelli che ho tenuto fino ad ora con quel cliente o fornitore?
Se ci dovesse essere qualcosa di diverso o di strano si potrebbe trattare di una email di Phishing. In questo caso è sufficiente fare ulteriori verifiche ad esempio contattando il mittente al telefono. 

2. Chi è che mi scrive? 

La verifica del mittente è importantissima: non limitiamoci al nome che leggiamo! Molto spesso infatti nel campo mittente non vediamo l'indirizzo di posta elettronica bensì il nome o la ragione sociale (presunta!). Se ci posizioniamo con il mouse sul nome del mittente che leggiamo, possiamo vedere alcune informazioni tra le quali anche l'effettiva casella di posta che ha inviato la mail. Controllate che il dominio, quello che appare a destra della @, sia il vero dominio di posta dell’ente o azienda o persona che il mittente sostiene di essere, verificando da mail precedenti o nei documenti ufficiali. In caso di Phishing il dominio può essere diverso oppure molto, molto simile perché si può differenziare anche solamente per un singolo carattere, oltretutto scelto appositamente allo scopo di ingannare il colpo d’occhio dell’utente che va a verificare.  
Quindi fermiamoci qualche secondo in più per leggere con attenzione!

3. Ci sono allegati? Di che tipo sono?

In caso di allegati compressi, come .zip, .rar, .tar,.7zip., spesso i sistemi di protezione non sono in grado di verificarne la presenza al loro interno di file malevoli. Se ci cliccate sopra, ed aprite l'archivio, viene lanciato automaticamente anche l’eseguibile al suo interno. In casi di questo genere e se non siete certi della identità del mittente, torniamo a quanto detto prima e fate ulteriori verifiche telefoniche.
Anche in presenza di allegati non compressi, prima di aprirli, verificare sempre l’effettiva estensione del file. Spesso i file eseguibili, preposti propiro alla esecuzione di un software dannoso, per ingannare l'occhio sfruttano una funzionalità dei vostri PC: esiste una impostazione che non visualizza il formato del file. Quindi ricevete un file il cui nome che leggete è allegato.doc quando invece il nome completo sarebbe allegato.doc.exe. Questo tipo di verifica è necessaria per verificare se il formato è pericoloso perché fanno parte della famiglia degli “eseguibili”. 
Questi formati sono: .exe, com,.pif,.bat,.scr,.cab,.msi,.js,.jar,.vb,.vbe. In questi casi è sufficiente posizionarsi con il cursore sull’ allegato senza cliccare e si aprirà una piccola finestra nella quale si potrà vedere l’estensione reale. Se dovesse apparire un formato tra quelli menzionati sopra non ponetevi nemmeno il dubbio: cancellate la mail.
Se l'allegato è di tipo Office, Open Office o pdf, comunque prestiamo molta attenzione. Al loro interno possono essere presenti le cosiddette "macro". Sono dei contenuti che non sono visibili e per questo utilizzate per fini malevoli (ed es. il Ransomware Locky di cui ci siamo già occupati). In questi casi non conta la verifica del mittente ma è assolutamente necessario attivare sul vostro pc il blocco delle macro: quando tenteremo di aprire il documento il sistema ci chiederà se vogliamo o meno eseguire le macro: naturalmente la risposta è sempre no!
Ultimo caso è quello di allegati protetti con pasword. In questi casi non ci sono considerazioni da fare: cancellete la mail!

4. Ci sono dei link all'interno della mail?

Spesso il file malevolo si trova su una pagina web. Per farvi raggiongere questa pagina viene inserito nel corlo della mail un "link ipertestuale". Cliccandoci sopra si consente la esecuzione del codice che cifra tutti i vostri dati.
Come nel caso della verifica del mittente è sufficiente posizionarsi col mouse, senza cliccare, sul link: verrà visualizzata la pagina a cui si sta tentando di accedere. Dovrete verificare che la scritta prima del primo"/" sia corrispondente al sito del presunto mittente o che conoscete. Anche in questi casi bisogna leggere con attenzione perchè gli escamotage utilizzati ingannano, a colpo d'occhio chi controlla l'indirizzo del sito ed è più complicato controllare rispetto ad un indirizzo di posta elettronica.  

Se tutto questo fallisce rimane solo la difesa antivirus sperando che riconosca il malware, anche se, con le tecniche attuali non è una garanzia.

Per concludere, se ci accorgiamo di aver consentito la esecuzione di un Ransomware, spegnamo il PC, anche staccando la alimentazione in modo brutale: in questo modo si interromperà la infezione del PC ed anche della rete aziendale. Contattate il vostro partner per il supporto tecnico che potrà smontare il disco, copiare i file non criptati, formattare il pc e ripristinare i dati dal vostro backup.

L'ultima spiaggia quindi è il backup! Qui non si tratta di prevenire ma di ripristinare: i PC e gli utenti possono ripartire in tempi e costi contenuti. Il back up è l'unico sistema in grado di garantire la continuità della operatività aziendale.

Da queste ultime considerazioni si capisce quanto sia importante rafforzare al massimo le protezioni e la formazione dell'utente. Queste sono le strategie più vantaggiose sia perchè le più efficaci, sia perchè i costi di implementazione sono davvero contenuti.