Nuova campagna di phishing. Stavolta via PEC

In tema di sicurezza, è sempre importante ricordare che nessun canale garantisce al 100% l’immunità dai pericoli, questo perché chi vuole attaccare è sempre un passo avanti a chi cerca di difendersi. Ammettere questo, però, non significa assolutamente partire sconfitti, ma semplicemente impegnarsi a fare tutto il necessario per evitare di essere colti alla sprovvista. Il caso che raccontiamo oggi rientra sicuramente in questa casistica poiché, seppur ben celata, questa nuova truffa via PEC è facilmente evitabile.

Il giorno 5 ottobre 2019 è stata osservata per la prima volta una campagna malevola su caselle PEC di aziende, PA e soggetti singoli appartenenti ad ordini professionali. Questa campagna è stata rilevata da CERT-PA (Computer Emergency Response Team – Pubblica Amministrazione), che la descrive come un tentativo di raccolta informazioni per preparare il campo ad un futuro attacco. Partendo da caselle di Posta Certificata già compromesse, questi messaggi hanno l’obiettivo di raccogliere dati richiedendo di cambiare l’indirizzo PEC per le successive fatture.

Il contenuto del messaggio:

Nella nota ufficiale di CERT-PA, rilasciata il 10 ottobre, si spiega che il messaggio inoltrato ha le seguenti caratteristiche:

  • oggetto: “Invio File <XXXXXXXX>”
  • indica la presenza di un allegato dal nome ITYYYYYYYYYY_1bxpz.XML.p7m che però risulta assente, cosa che potrebbe far pensare ad una semplice distrazione;
  • nel testo viene citato un “nuovo indirizzo da utilizzare per le prossime fatture al Sistema di Interscambio”.

L’indirizzo indicato è lo stesso del mittente della casella controllata da chi sta cercando di raccogliere informazioni. Sul messaggio si può vedere che il mittente mostrato risulta essere la casella di un componente di un ordine professionale, mentre il mittente effettivo indicato nel testo è la PEC di un’azienda italiana.

Dagli ultimi aggiornamenti, si sa che la comunicazione fraudolenta è la copia esatta di un vero messaggio di Sogei emesso ad inizio ottobre e che nel testo c’è un meccanismo di tracciamento che punta al dominio “pattayajcb.com” e si abilita appena viene aperta la mail.

CERT-PA ha approfondito le analisi su questi messaggi sospetti, scoprendo che in soli sette giorni ne sono stati inoltrati oltre 265mila utilizzando circa 500 caselle PEC.

Come evitare le campagne malevole:

Ricollegandoci a ciò che abbiamo scritto all’inizio di questo articolo, questo tipo di campagna malevola può essere evitato conoscendo, ad esempio, le caratteristiche delle comunicazioni ufficiali SDI. Per farlo, prendiamo in prestito il contenuto del comunicato ufficiale emesso dall’Agenzia delle Entrate nel quale vengono elencati i requisiti fondamentali per valutare la veridicità di un messaggio veicolato da SDI:

– il mittente è esclusivamente del tipo sdiNN@pec.fatturapa.it (laddove per NN si intende un numero progressivo di due cifre).

– il messaggio contiene sempre almeno 2 allegati che seguono le specifiche tecniche della fatturazione elettronica.

Fonte: 1