Phishing via PEC, la truffa delle finte fatture elettroniche: i consigli per difendersi

Una massiccia campagna di phishing via PEC ha colpito le caselle di posta elettronica certificata di molte pubbliche amministrazioni, aziende private e iscritti a diversi ordini professionali.

Come successo già in passato, ad esempio per la diffusione del ransomware FTCODE, le e-mail malevoli vengono veicolate mediante altri indirizzi PEC già compromessi in passato.

Come funziona la truffa delle fatture via PEC

La truffa delle fatture con l’uso di un nuovo indirizzo di interscambio è una tecnica sofisticata utilizzata dai cybercriminali per ingannare le aziende e ottenere pagamenti fraudolenti. Ecco come funziona:

• Spoofing di comunicazioni legittime: i cyber criminali inviano email che sembrano provenire da un fornitore o partner commerciale fidato, spesso utilizzando una PEC o un indirizzo email che imita quelli legittimi.
• Falsificazione delle fatture: Nelle comunicazioni, i truffatori includono fatture alterate che riportano dettagli di pagamento modificati. Queste possono sembrare identiche a quelle autentiche emesse dai fornitori.
• Nuovo indirizzo di interscambio: La truffa può includere istruzioni che indicano un nuovo indirizzo di Sistema di Interscambio (SdI) per la trasmissione delle fatture elettroniche. Questo nuovo indirizzo è controllato dai truffatori.
• Indirizzamento dei pagamenti verso conti fraudolenti: Le aziende, credendo che le comunicazioni siano genuine, finiscono per inviare pagamenti al conto indicato dai truffatori, anziché al fornitore legittimo.
• Manipolazione delle comunicazioni: Spesso, le email contengono un senso di urgenza o minaccia di conseguenze negative se non si seguono le nuove istruzioni, inducendo le vittime ad agire rapidamente senza verificare.

Phishing via PEC: attenzione al mittente

Le e-mail malevoli sono riconoscibili perché hanno il seguente oggetto:

Invio File <XXXXXXXXXX>

dove, al posto delle X compare una stringa casuale composta da 10 cifre. Il testo dei messaggi di posta elettronica certificata fraudolenti fa riferimento, inoltre, ad un allegato firmato digitalmente:

ITYYYYYYYYYY_1bxpz.XML.p7m

ma che in realtà non è presente all’interno dell’e-mail.

La mancanza dell’allegato differenzia questa nuova truffa dai precedenti attacchi alle caselle PEC utilizzati per diffondere malware di ogni genere: oltre al ransomware FTCODE già menzionato prima, ricordiamo anche gli attacchi coi malware:

• sLoad
• Gootkit
• DanaBot

Le attività malevole sono continue

CERT-AGID continua a segnalare attività malevole, comprese campagne di phishing mirate a raccogliere informazioni riservate. Queste campagne continuano a utilizzare tecniche di inganno che coinvolgono vari temi come quello bancario e delle fatture per infiltrarsi nelle comunicazioni personali e accademiche.

Inoltre, ci sono segnalazioni di attacchi mirati a studenti e personale di università italiane, il che supporta l’idea di un attacco phishing sofisticato che potrebbe prefigurare ulteriori attacchi mirati a obiettivi specifici

Come gli attacchi malevoli coinvolgono le PEC

Gli attacchi malevoli coinvolgono anche Posta Elettronica Certificata (PEC) in Italia. Il CERT-AGID ha rilevato diverse campagne di phishing e malspam che utilizzano caselle PEC compromesse per diffondere malware come AsyncRat.

Queste campagne fanno uso di tecniche avanzate come il Domain Generation Algorithm (DGA) per generare indirizzi malevoli e distribuire il payload attraverso script malevoli.

Attenzione ai messaggi in PEC

Il testo del messaggio malevolo veicolato mediante questa tipologia di phishing viene infatti utilizzato per comunicare un “nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio”.

Dall’analisi dell’e-mail, però, viene fuori che tale indirizzo coincide sempre con il mittente della casella di posta elettronica certificata compromessa e controllata dall’attaccante. In particolare, il CERT-AGID ha scoperto che:

• il display name del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
• il mittente effettivo è una casella PEC di una società italiana.

e che i phisher hanno clonato una comunicazione PEC lecita emessa da Sogei contestualmente all’attivazione del Sistema di Interscambio.

La truffa, ben congeniata, serve dunque ai criminal hacker per indurre le potenziali vittime del phishing a inviare le future fatture elettronica al nuovo indirizzo del Sistema di interscambio; ma così facendo non fanno altro che “regalare” agli attaccanti i loro dati riservati.

Come se non bastasse, all’interno del messaggio di testo è nascosto un efficiente sistema di tracciamento che, abilitandosi all’apertura della mail e puntando al dominio pattayajcb[.]com, consente di monitorare le attività delle vittime.

Come difendersi dalle truffe online

In alcuni casi può essere utile navigare in rete con una VPN: infatti alcune Virtual Private Network possono offrire servizi aggiuntivi che bloccano siti web noti per essere coinvolti in attività di phishing e anche evitare il download involontario di malware.

NordVPN: le funzionalità per evitare phishing e malware

NordVPN

4.7

🇮🇹 Server in Italia: 60+ server a Roma, Milano e Palermo

🌍 Server: 7000+ server in 118 paesi

📱 Massimo dispositivi: 10

📍 IP dedicato: ✔

🆓 Versione Free: Garanzia rimborso di 30 giorni

💻 Compatibilità: Windows, macOS, Android, iOS

🔐 Sicurezza: IKEv2/IPsec, OpenVPN, NordLynx, WireGuard, NordWhisper

👨‍💻 Assistenza 24/7: ✔

🏢 Sede legale: Panama

🔥 Offerte attive: SCONTO fino al 72%

PROVALA SUBITO

L’offerta presenta NordVPN come una delle VPN più avanzate e veloci al mondo, con protezione per fino a 10 dispositivi con un singolo account. Include funzionalità per evitare phishing, truffe e malware, e offre un significativo sconto del 73% con 3 mesi extra. NordVPN garantisce un alto livello di sicurezza dei dati, promettendo che anche il computer più potente impiegherebbe miliardi di anni per decrittografarli.

Include inoltre caratteristiche avanzate come Threat Protection Pro per bloccare malware, Meshnet per l’accesso remoto ai file e Dark Web Monitor per avvisi su eventuali fughe di dati. NordVPN offre sicurezza integrata per la navigazione, gestione delle password e crittografia dei file, il tutto accessibile da un’unica app. La VPN è altamente raccomandata da esperti e utenti, riconosciuta per il suo vasto assortimento di server e pratiche di privacy e sicurezza solide. L’offerta include una garanzia di rimborso di 30 giorni.

Incogni: blocca la diffusione di dati personali

La rimozione delle informazioni personali è progettata per aiutare gli utenti a proteggere la loro privacy online rimuovendo i loro dati da broker di dati privati e siti di ricerca persone. Ecco un riassunto delle opzioni e funzionalità disponibili:

Piani Incogni disponibili

• Standard: €7,29 al mese, fatturato annualmente a €87,48 (risparmio di €87 all’anno).
• Family: €15,49 al mese, fatturato annualmente a €185,88 (risparmio di €185 all’anno).
• Family Unlimited: €25,49 al mese, fatturato annualmente a €305,88 (risparmio di €305 all’anno).
• Unlimited (Il più popolare): €12,99 al mese, fatturato annualmente a €155,88 (risparmio di €155 all’anno).

Caratteristiche principali di Incogni

• Rimozione dai Broker di dati privati: Protegge le informazioni dalla vendita a terze parti, riducendo spam e altri rischi.
• Rimozione dai siti di ricerca persone: Previene invasioni della privacy, furto d’identità e molestie online.
• Tracciamento trasparente: Permette di monitorare facilmente lo stato delle rimozioni tramite un dashboard dettagliato e rapporti regolari.
• Copertura avanzata della Privacy: Migliora la privacy nel tempo rimuovendo profili collegati a email, indirizzi e numeri di telefono, aggiungendo costantemente nuovi broker di dati e siti di ricerca persone.

Il consiglio per difendersi da questa nuova campagna malevola è ovviamente quello di ignorare e cancellare eventuali e-mail PEC provenienti da utenze non riconosciute e che, ovviamente, comunicano un nuovo indirizzo per il recapito delle fatture elettroniche al Sistema di Interscambio.

È utile, inoltre, seguire alcune semplici regole di sicurezza informatica:

• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
• evitare di aprire gli allegati dei messaggi di posta elettronica sospetti.

Disclaimer: Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. I servizi potrebbero subire variazioni di prezzo dopo la pubblicazione