Bitdefender Labs presenta una nuova ricerca sull’ultima ondata di spam e truffe (phishing) legati alla beneficenza, donazioni alla guerra in Ucraina.
“Quanto emerge dal rapporto Bitdefender non sorprende”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “qualunque evento ad alto interesse mediatico rappresenta una opportunità unica per qualunque categoria di attaccante“.
Indice degli argomenti
La truffa delle donazioni all’Ucraina
E-mail dannose e fraudolente sfruttano l’invasione russa in Ucraina e il conflitto militare per installare sui computer degli utenti i famigerati RAT (Remote Access Trojan) Agent Tesla e Remcos.
Nel frattempo, s’intensificano campagne di spam e truffe che mettono nel mirino la beneficenza e la guerra in Ucraina. I criminali informatici si spacciano per:
- il governo ucraino;
- l’agenzia umanitaria internazionale Act for Peace;
- l’UNICEF;
- altri progetti di raccolta fondi come l’Ukraine Crisis Relief Fund.
Una campagna con oggetto “Sostenete il popolo dell’Ucraina. Ora accettiamo donazioni in criptovaluta. Bitcoin, Ethereum e USDT”, proveniente da indirizzi IP in Cina, ha registrato decine di migliaia di caselle di posta elettronica, solo il 2 marzo. Il 25% delle email truffaldine era diretto verso il Regno Unito, il 14% negli Stati Uniti, il 10% in Corea del Sud, l’8% in Giappone, il 7% in Germania, il 4% in Romania, e il 2% in Grecia, Finlandia e Italia.
Ovviamente, tutte hanno un comune denominatore: truffano ignari utenti, invitandoli a fornire falsa assistenza economica.
“In passato”, continua Paganini, “abbiamo visto campagne di phishing e malware sfruttare l’interesse degli utenti online per eventi come la pandemia o disastri naturali È facile prevedere che un crescente numero di attori malevoli possa lanciare campagne di malspam e phishing che utilizzano notizie sul conflitto in corso come esca”.
I vettori d’attacco
La prima campagna spam ha messo nel mirino le aziende del settore manifatturiero mediante un allegato .zip ‘REQ Supplier Survey’ con cui i criminali informatici chiedono ai destinatari di compilare un sondaggio riguardante i loro piani di backup per rispondere alla guerra in Ucraina.
Il RAT Remcos sfrutta un allegato Excel. Il messaggio cita il conflitto in corso in Ucraina, chiedendo ai destinatari di mettere uno dei loro ordini in attesa fino alla riapertura delle spedizioni e dei voli.
Basta aprire l’allegato per infettare il dispositivo con Agent Tesla, un noto Malware-as-a-Service (MaaS) RAT in grado di rubare i dati ed esfiltrare informazioni sensibili comprese:
- credenziali di accesso;
- sequenze di tasti;
- dati degli appunti.
Gli attacchi sembrano provenire da indirizzi IP nei Paesi Bassi (86%) e in Ungheria (3%). Sotto il profilo della diffusione geografica, i destinatari si trovano in:
- Corea del Sud (23%);
- Germania (10%);
- Regno Unito (10%);
- Stati Uniti (8%);
- Repubblica Ceca (14%);
- Irlanda (5%);
- Ungheria (3%);
- Svezia (3%);
- Australia (2%).
Ucraina, messaggi che rubano soldi: allarme della Postale
A quanto sopra si aggiunge il tentativo di molti truffatori, via messaggi di vario tipo (anche Whatsapp) di rubare soldi presentandosi come Ucraini in difficoltà o rappresentanti di società di beneficienza.
La Polizia Postale avvisa del pericolo e consiglia di usare per le donazioni solo i canali ufficiali (vedi sotto).
Donazioni per l’Ucraina: ecco come farle in sicurezza via sms, app o web
Cyber crime e malware-as-a-service
“Il crimine informatico”, sottolinea Paganini, “cercherà di massimizzare i propri profitti sfruttando questa tragedia, attori malevoli senza scrupoli tenteranno di portare a segno un numero crescente di truffe legate alla beneficenza. Questo nostro timore è confermato dal rapporto e la situazione è destinata a peggiorare”.
“Nelle ultime ore”, mette in guardia l’analista di cyber security, “truffatori hanno persino cercato di sfruttare l’interesse mediatico nelle operazioni che il collettivo Anonymous sta conducendo”.
Ma non solo: “Sono stati documentati diversi casi”, conclude Paganini, “in cui i truffatori hanno organizzato finte raccolte di fondi per sostenere Anonymous. Infine, è necessario fare un’ulteriore riflessione, dietro attacchi come quelli documentati da Bitdefender potrebbero celarsi anche attori nation-state che utilizzano servizi malware-as-a-service per operazioni mordi e fuggi (hit-and-run) di difficile attribuzione”.
Come proteggersi
Per difendersi dal phishing, ricordiamo le regole base:
- non cliccare mai su link o allegati in email o messaggi che chiedono donazioni urgenti;
- fare beneficenza esclusivamente a enti, organizzazioni non-profit e raccolte di fondi ufficiali e di cui avete fiducia;
- monitorare i conti bancari in caso di attività sospetta o spese non autorizzate;
- diversificare le password per gli account online;
- mai aprire messaggi di posta elettronica contenenti attachment o link, anche quando provengono da mittenti noti;
- se il mittente è noto, conviene contattare i mittenti via WhatsApp o altri account, per sincerarsi che la spedizione dell’allegato provenga davvero da chi conosciamo, per non cadere in una frode;
- l’assenza di testo o palesi errori ortografici e un subject equivoco dovrebbero, infine, insospettire i riceventi.