L’Agenzia delle Entrate ha allertato, tramite una nota recente, gli utenti in merito una campagna phishing sottolineando la propria estraneità alla stessa. Questo quanto riportato nella nota:
“In circolazione false e-mail a nome dell’Agenzia. Non aprire gli allegati e cestinare immediatamente
Sono in corso nuovi tentativi di phishing a danno degli utenti attraverso e-mail che sembrano essere riconducibili all’Agenzia. L’Agenzia è estranea a tali messaggi ed invita gli utenti a cestinare immediatamente messaggi di posta elettronica che riportano nell’intestazione la dicitura “IL DIRETTORE DELL’AGENZIA” o “GLI ORGANI DELL’AGENZIA” e che, nel testo, invitano a prendere visione di documenti contenuti in un archivio allegato per verificare “alcune incoerenze” emerse “dall’esame dei dati e dei saldi relativi alla Divulgazione delle eliminazioni periodiche Iva”. Le e-mail, infatti, non provengono dall’Agenzia, ma costituiscono il tentativo di installare un malware sui dispositivi dei destinatari anche allo scopo di acquisire successivamente informazioni riservate. Di seguito due esempi di questi messaggi:
L’Agenzia raccomanda ai contribuenti di verificare sempre attentamente i messaggi ricevuti e, se questi appaiono sospetti, soprattutto se i mittenti sono sconosciuti, di non aprire gli allegati o seguire i collegamenti presenti nelle mail (anche per evitare danni ai propri pc, tablet e smartphone) e cestinarli. Inoltre, precisa che non vengono mai inviate per posta elettronica comunicazioni contenenti dati personali dei contribuenti. Le informazioni personali sono consultabili esclusivamente nel Cassetto fiscale, accessibile tramite l’area riservata sul sito dell’Agenzia delle Entrate.”
Il 24 Settembre è partita un’altra campagna simile che usa la stessa tecnica.
“È stata presentata una citazione a carico della Sua società, in merito a una fattura non dichiarata”
L’oggetto della mail potrebbe metter in ansia il destinatario. Al suo interno è presente un link che indirizza ad una pagina creata per far credere all’utente di essere veramente nel portale dell’Agenzia.
Ulteriori informazioni sono disponibili nel sito CSIRT:
È stata individuata una nuova campagna malspam diretta a utenti italiani.
Il messaggio e-mail, con oggetto “È stata presentata una citazione a carico della Sua società, in merito a una fattura non dichiarata”, punta a indurre il destinatario a seguire il link fornito nel corpo della mail che lo indirizza su un sito – agenziaentrate[.]digital – appositamente predisposto dagli attaccanti per ingannare gli utenti facendo credere loro di interagire con il sito istituzionale legittimo dell’Agenzia.
Come evidenziato nell’immagine soprariportata, la pagina web propone una serie di file malevoli per il download e la successiva apertura, specificando la password da inserire per visualizzarne il contenuto. Una volta aperti ed abilitate le modifiche, l’esecuzione della macro avvia lo scaricamento del malware sul computer della vittima.”
Azioni consigliate in caso di ricezione dell’e-mail truffa
Dopo diverse segnalazioni da parte di utenti, l’Agenzia delle Entrate ha spiegato come proteggersi dall’attacco di phishing: il primo passo è verificare sempre i messaggi ricevuti, così da individuare subito elementi sospetti, di non aprire i link presenti nella mail, né scaricare eventuali allegati di qualsiasi tipo.
L’e-mail andrà poi subito cestinata. Se, eventualmente, rimane il dubbio sull’autenticità della comunicazione, l’utente ha la possibilità di verificare nell’area riservata del sito web ufficiale dell’Agenzia delle Entrate Cassetto Fiscale, le informazioni relative alla propria posizione.
Riconoscere l’e-mail truffa è il primo passo per salvaguardare i propri dati sensibili dall’attacco di phishing. Gli utenti vengono, generalmente, invitati ad aprire file allegati, così da ottenere spiegazioni sulle presunte “incoerenze”, con tanto di riferimento all’Agenzia delle Entrate e una password da inserire per accedere agli allegati. In realtà, aprendo quest’ultimi si scarica un malware che è in grado di infettare il PC e di rubare i dati sensibili.
La tecnica utilizzata dai malintenzionati è simile a quella già utilizzata nei mesi scorsi per l’INPS o per altri enti e aziende note il cui logo viene periodicamente contraffatto.
Ci sono alcuni elementi che gli utenti possono notare per capire se l’e-mail appena ricevuta sia un tentativo di phishing. Il primo consiglio è quello di guardare sempre l’indirizzo mail del mittente, che solitamente non è quello ufficiale dell’ente per cui si spaccia.
Altro consiglio è notare la grammatica della mail: i tentativi di phishing contengono spesso errori ortografici e refusi, difficilmente presenti in una mail standard. Se poi il testo invita l’utente a scaricare dei file sospetti, oppure ad eseguire l’accesso su un sito web inserendo le proprie credenziali al link nella mail, il rischio che si tratti di phishing è ancora maggiore.
Si raccomanda di:
- limitare le funzionalità delle macro che attivano connessioni verso internet;
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing e i rischi ad esso connessi;
- valutare la verifica e l’implementazione degli Indicatori di Compromissione (IoC) sui propri apparati di sicurezza.
Il phishing: definizione
“Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
Il termine phishing è una variante di “fishing” (letteralmente “pescare” in inglese), probabilmente influenzato da phreaking e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente.” (fonte Wikipedia)
Il phishing è una truffa veicolata tramite Internet che prevede l’invio di false comunicazioni tramite e-mail, SMS, social network o piattaforme di Instant Messaging. L’attenzione della vittima è attratta dal motivo del contatto o dal mittente stesso; spesso, infatti, sembra che la comunicazione riguardi qualcuno o qualcosa con cui si ha avuto a che fare di recente o addirittura un Ente importante che spinge la vittima a fidarsi comunicando dati personali sensibili.
La vittima riceve una e-mail di una società conosciuta (es. la propria banca) con logo e grafica che richiamano quelli ufficiali. Nel messaggio viene richiesto un accesso, come ad esempio di connettersi al proprio conto corrente tramite home banking per verificare i dati personali. La mail contiene sempre un link che rimanda ad un sito identico a quello dell’azienda menzionata e qui vengono richiesti codice utente e password, e talvolta i dati della carta di credito. Al termine della procedura, appare un messaggio di conferma. Es. “l’operazione è andata a buon fine: i vostri dati sono stati aggiornati e/o il problema è stato risolto”. In quel momento il truffatore entra in possesso dei dati e può liberamente accedere, utilizzando l’identità “rubata”, a tutte le operazioni legate all’azienda in questione.