È in corso in queste ore una massiccia campagna di phishing su Outlook mirata al furto di credenziali dei dipendenti della pubblica amministrazione italiana.
A lanciare l’allarme il CERT-PA, che ha avuto evidenza dell’azione malevola durante le normali attività di condivisione delle informazioni con gli altri CERT istituzionali.
Questa nuova campagna di phishing su Outlook conferma ancora una volta che l’e-mail rimane il vettore di attacco preferito dai criminal hacker.
Indice degli argomenti
Phishing su Outlook: i dettagli della campagna malevola
Dalle evidenze avute finora dagli analisti del Computer Emergency Response Team della Pubblica Amministrazione, sembrerebbe che il target dei criminal hacker siano proprio i dipendenti della PA italiana e in particolare quelli che utilizzano Outlook come piattaforma di gestione della posta elettronica.
Ciò non esclude, comunque, che la campagna di phishing possa evolvere e colpire anche utenti privati e aziende.
In particolare, l’attacco phishing viene veicolato mediante e-mail malevoli con oggetto Avvertimento Aggiornare Necessaria. L’italiano sgrammaticato dovrebbe far suonare subito il campanello d’allarme, ma come al solito i criminal hacker sfruttano la disattenzione degli utenti e la loro emotività usando termini che creano uno stato d’ansia negli utenti.
Dall’analisi dei messaggi di posta elettronica malevoli si evince, inoltre, che come mittenti sono stati utilizzati una serie di account già compromessi in passato appartenenti sia ad utenti privati sia della PA.
Il corpo del messaggio invita l’utente a cliccare su un link per procedere all’aggiornamento di non meglio specificati dati. Cliccandoci sopra, la vittima viene reindirizzata su uno dei seguenti indirizzi:
- http[:]//b1z[.]org/ssoutlookupdate
- http[:]//fleingt[.]c1[.]biz/?rel=update
e invitata a fornire le proprie credenziali che, ovviamente, finiscono immediatamente nelle mani dei criminal hacker.
I consigli per difendersi
Per difendersi da questa nuova campagna di phishing su Outlook e non “abboccare all’amo” dei phisher vale il principio che nessuno può tutelare le nostre informazioni meglio di noi stessi.
È utile, quindi, mettere in pratica queste semplici regole di sicurezza informatica suggerite dal CERT-PA e valide per qualunque attacco di tipo phishing:
- non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via e-mail;
- non aprire allegati del messaggio se non si è sicuri dell’identità del mittente;
- non cliccare su alcun link presente nel corpo del messaggio se non si è sicuri dell’identità del mittente;
- se si ricevono mail che sembrano provenire dalla propria banca, istituto di credito o finanziario che chiedono di inserire dati personali (login e password o numero di carta di credito), è opportuno verifica sempre la veridicità del messaggio con una semplice telefonata all’istituto;
- controllare che la connessione sia HTTPS e verificare che, all’apertura della pagina, il dominio sia effettivamente quello “ufficiale”;
- installare nel computer un antivirus che protegga anche dal phishing e mantenerlo costantemente aggiornato;
- fidarsi dei filtri antispam del proprio provider di posta: i messaggi che si trovano nella cartella di Spam sono al 90% mail spazzatura o tentativi di phishing;
- utilizzare password robuste e cambiarle con frequenza;
- non utilizzare mai la stessa password per i vari servizi on-line.
Qualora, per sbaglio o disattenzione, dovessimo cliccare sul link e caricare la presunta pagina Web malevola, niente paura: la presenza di eventuali malware nascosti verrebbe immediatamente segnalata dal filtro per la navigazione Web del nostro antivirus e le minacce bloccate prima che infettino il nostro computer.
È poi possibile mettere in pratica un semplice trucco per smascherare le truffe online e mettere al sicuro le nostre credenziali di accesso. Se ci ritroviamo su una pagina Web sospetta che ci chiede di inserire le nostre credenziali, proviamo ad inserire username e password inventate: se il sito su cui stiamo navigando è quello ufficiale, riconoscerà che sono sbagliate impedendoci di proseguire.
Infine, il consiglio per tutte le PA e le aziende è quello di mantenere elevato il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
