Probabilmente siete già stati messi in guardia più volte sui rischi che comporta il fidarsi delle email da persone che non si conoscono. In caso contrario il nostro consiglio è quello di pensarci due volte prima di prenotare la vostra vacanza da sogno da una e-mail che sostiene che avete vinto alla lotteria quando non avete nemmeno comprato un biglietto!
Ma che fare con le email provenienti da amici, colleghi, il vecchio dottore o il brillante avvocato?
Quando riceviamo un messaggio da un familiare quanti di noi cliccano su un link o aprono un allegato senza prestare la stessa attenzione che invece riserveremmo all’email di uno sconosciuto?
In qualità di esperti lettori del nostro blog, probabilmente siete a conoscenza di tali rischi, ma potreste dire lo stesso di amici, parenti, vicini di casa o di qualcuno con cui fate affari?
La settimana scorsa l’account del mio avvocato è stata violata. Ecco cosa è successo in seguito.
Il primo attacco
Per me tutto è iniziato con una mail dal mio avvocato
Essa proveniva dal suo vero indirizzo email e riportava la sua solita firma digitale, con telefono e indirizzo. Siccome sono nel bel mezzo di un trasloco e sto aspettando da lui documenti importanti questa mail mi è sembrata inizialmente assolutamente normale.
Muovendo il mio cursore per aprirla ho notato però un problema. L’allegato si chiamava Drafted Contract003.pdf.htm – un astuto utilizzo della doppia estensione .pdf.htm che cercava di farmi intendere che si trattasse di un documento PDF invece di una pagina HTM (web page) come in realtà era.
All’apertura del file, invece di lanciare un PDF viewer veniva lanciato il mio browser e un popup alert:
Una volta chiuso questo alert venivo indirizzato verso una pagina di login di Google davvero realistica:
L’ulteriore indizio che non si trattava della pagina reale poteva essere visto nella address bar:
Questo evidentemente non è l’indirizzo di Google, non è neanche l’URL di un web, ma si tratta di un codice incluso nel file HTM. Tale codice può essere visualizzato se aprite l’HTM con un text editor:
Se si guarda il codice sorgente di questa pagina in un browser si può vedere che qualsiasi utente che inserisce il proprio nome utente e password sottopone quei dettagli all’hacker e non a Google.
A questo punto ho contattato il mio avvocato e l’ho avvisato del fatto che il suo account era stato compromesso e stava inviando email di phishing. Lui mi ha ringraziato e ha accettato il mio consiglio di cambiare la sua password e di contattare i suoi clienti per avvisarli.
Ma non era finita– il giorno seguente ho ricevuto un’altra email.
Il secondo attacco
La nuova mail aveva la stessa firma e sembrava provenire dal mio avvocato; tuttavia essa proveniva da uno strano indirizzo Gmail:
Questa volta l’allegato era un vero file PDF dal nome Financial Statements001.pdf. Aprendo il file, appariva un’immagine sfocata con un link in alto.
Non ho alterato questa immagine. Era stata sfocata dagli hacker in modo che il testo apparisse illeggibile e che solo il logo della banca Barclays e la scritta “Approved” invece lo fossero. L’idea è quella di farvi pensare che avete approvato un qualche tipo di contratto o prestito e che cliccando sul link in cima al testo potrete vederne i dettagli.
In realtà cliccando sul link si approda ad una pagina web ospitata dallo stesso dominio della mail precedente che richiede ancora una volta il “log in” sulla falsa pagina Google.
Guardando le informazioni riguardanti il proprietario di quel dominio ho visto che era stato registrato una settimana prima utilizzando dati personali probabilmente falsi o rubati di una donna di nome Fiona residente a Lagos in Nigeria.
A questo punto era chiaro che l’hacker non solo era entrato nell’account E-mail del mio avvocato, ma aveva anche rubato tutti i dettagli di contatto nel suo address book. Questo ha permesso all’attaccante di continuare a prendere di mira me e altri clienti usando gli stessi dettagli, ma da diversi indirizzi e-mail
Cos’era successo?
Ho contattato nuovamente il mio avvocato per cercare di capire se sapeva in che modo poteva essere stato violato il suo account e cos’altro poteva essere successo. Non è stata una sorpresa scoprire che anche lui aveva recentemente ricevuto una mail simile che lo aveva indotto a inserire le sue credenziali di Google.
A quel punto volevo capire quali fossero le vere intenzioni che stavano dietro queste azioni: l’hacker voleva username e password solo per venderle nel Dark Web?
La risposta mi è apparsa chiara quando ho guardato i filtri del suo account email.
Aveva venti nuovi filtri chiamati He A, B, C… fino alla T. La maggior parte di essi aveva temi simili: ogni email che contenesse parole chiave nel messaggio o nel soggetto come Banca, Estratto Conto, o Coordinate Bancarie doveva essere spostato nella cartella Cancellati di Recente.
Per gli hacker che combattono contro il tempo, consapevoli che le vittime potrebbero cambiare le proprie password in qualsiasi momento, il modo più veloce è procurarsi le email più preziose e salvarle per ricerche successive.
Gli ultimi pochi filtri prendevano di mira email contenenti riferimenti a Contract003.pdf.htm. Esse sarebbero state automaticamente buttate nella cartella Spam.
In altre parole, le email da parte mia – e da parte di qualsiasi altra persona che cercasse di avvisare l’avvocato che era stato hackerato – sarebbe svanita nella sua cartella Spam e non sarebbe mai stata vista, il che avrebbe dato all’hacker più tempo per diffondere il suo imbroglio.
A questo punto sarebbe facile dire che la morale di questa storia è “Non fidarti di nessuno” ma non vogliamo essere drammatici
Vogliamo darvi un consiglio più fruibile: STOP. THINK. CONNECT. Anche solo un paio di secondi per pensare prima di aprire un allegato e cliccare su un link può salvarvi da ogni tipo di attenzione indesiderata da parte dei cybercriminali.
Che fare?
Per proteggervi da false email inviatevi dagli hacker:
- Fate attenzione a email provenienti da indirizzo diversi da quelli che conoscete.
- Non fidatevi di documenti che vi chiedono di abilitare macro o di essere modificati prima di vederne i contenuti
- Dite a Windows Explorer di mostrarvi le estensioni dei documenti per proteggervi da nomi di file ingannevoli.
- Fate attenzione a file con estensioni doppie (es. .pdf.htm) o con cui non avete familiarità (es. .js, .wsf, .lnk).
- Fermate il cursore del vostro mouse sui link per vedere se portano veramente dove dicono.
- Nel dubbio, parlate di persona con amici e colleghi e chiedete loro se vi hanno inviato l’email. (Non usare il numero di telefono dell’email che non vi convince, procuratevi il numero in un altro modo!
Per proteggere voi stessi dal l’avere la vostra email utilizzata dai cybercriminali per attaccare amici e clienti:
- Scegliete password efficaci. Anche se una password forte non vi aiuta in caso di phishing (gli hacker si impadroniscono anche delle password forti), rende molto più difficile usarle.
- Usate l’autenticazione a due fattori quando potete. In questo modo anche se i cybercriminali ruberanno la vostra password una volta non potranno entrare nel vostro account.
- Prendete in considerazione l’utilizzo di Sophos Home. Il nostro software antivirus gratuito per Mac e Windows blocca il malware e vi tiene al sicuro dai link a rischio e dai siti di phishing.