Coronavirus phishing email attack: come difendersi
Alcuni truffatori stanno sfruttando le paure del coronavirus per impersonare funzionari sanitari e indurre le persone a rinunciare alle informazioni personali.
Se ricevessi un'email dai Centri per il controllo e la prevenzione delle malattie o l'Organizzazione mondiale della sanità sull'epidemia di coronavirus, la leggeresti? Forse faresti clic su un link? I criminali informatici ci contano.
L'epidemia è un sogno diventato realtà per i criminali che la stanno utilizzando come base per gli attacchi phishing, progettati per catturare informazioni personali, rubare denaro e infettare i computer con malware tramite email. Era già accaduto agli inizi di febbraio con lo scopo di veicolare il malware Emotet, perlopiù nei paesi asiatici (ne avevamo parlato qui). Ora, insieme al virus, la minaccia arriva concretamente anche in Italia.
L'email che sembra legittima
L'email sotto può sembrare legittima, ma non proviene dall'Organizzazione mondiale della sanità. Coloro che fanno clic sul collegamento finiscono in un sito creato da criminali per rubare le credenziali email.
L'email è breve e semplice, qualcosa che potrebbe essere creata in pochi minuti.
Il messaggio non deve essere molto complicato perché c'è così tanto interesse e preoccupazione per questo virus, che tutto ciò che i criminali devono fare è inserire un collegamento e fare atterrare le vittime su un sito che controllano. Da qui possono ottenere molte informazioni.
I truffatori stanno progettando le loro email in modo che sembrino provenire dal CDC o dall'OMS. Di solito hanno un oggetto che attira l'attenzione, come ad esempio "Focolaio di coronavirus nella tua città (emergenza)" e spesso includono il logo dell'agenzia - copiato e incollato dal vero sito Web - per aggiungere credibilità.
A prima vista, l'indirizzo email del mittente sembra legittimo, ad esempio cdc-gov.org o cdcgov.org. I truffatori creano domini molto vicini al vero sito CDC - cdc.gov - rendendo facile cadere nell'inganno.
L’email può anche contenere un file allegato che, se eseguito, ha capacità di esfiltrare i dati dell’utente quali:
- Nome Computer;
- Nome PC;
- IP in locale della macchina;
- Modello della scheda di rete.
Come evitare la truffa?
- Controlla il dominio di posta elettronica del mittente e verifica se corrisponde al sito Web dell'organizzazione per cui dichiarano di lavorare. Quindi, controlla gli URL inclusi nell'email.
Nell'esempio, il truffatore pretende di provenire dal CDC, ma utilizza un'email da un dominio diverso da cdc.gov e include collegamenti fuorvianti che portano a un sito diverso quando si fa clic. - Non fidarti delle pagine di accesso con URL sconosciuti.
Il link dannoso in questa truffa indirizza gli utenti a una schermata di accesso di Microsoft Outlook falsa per rubare le loro credenziali: l'URL sconosciuto è un indizio. - In caso di dubbi, copia e incolla gli URL nel tuo browser anziché fare clic direttamente sui collegamenti ipertestuali.
Il browser solitamente può dare indicazioni sull'esistenza della pagina ed eventuali certificati di sicurezza. - Cerca errori ortografici e grammaticali. Prenditi del tempo extra per rivedere i messaggi alla ricerca di segnali rivelatori che siano fraudolenti.
- Non inserire mai dati che un sito Web non dovrebbe richiedere. Un sito aperto al pubblico, come il CDC o l'OMS, non chiederà mai le tue credenziali di accesso.
- Se ti rendi conto di aver appena rivelato la tua password agli impostori, modificala il prima possibile. I truffatori cercano di utilizzare immediatamente le password rubate, quindi prima cambi la password, più è probabile interrompere la sequenza di azioni malevole.
- Non usare mai la stessa password su più di un sito. Una volta che i truffatori hanno una password, la proveranno su ogni sito web in cui potresti avere un account, per vedere se la fortuna gioca dalla loro parte.
- Attiva l'autenticazione a due fattori (2FA), se puoi. È un'enorme barriera per i truffatori. Con 2FA, una password rubata, di per sé, è inutile.
È inevitabile che, nel caso di infezione, molti dati siano già stati trafugati dal cybercrime e, nei casi peggiori, rivenduti nel deep/dark web.
Per questo risulta necessario avere a disposizione un servizio che sia in grado di notificare eventuali utilizzi malevoli delle proprie credenziali, databreach, violazioni o clonazioni dei domini aziendali, così come la notifica di eventuali file secretati o documenti di progetto usciti dalla rete aziendale.
Raccomandazioni
Per approfondimenti rimandiamo anche al bollettino del CERT-PA: “Azioni utili per contrastare l’esecuzione e la diffusione di malware“.
Si raccomanda di far riferimento al sito Web del Ministero della Salute per informazioni utili e chiarimenti sull'emergenza coronavirus.