E-mail di phishing e malware non sono certo una novità, ma se combinate ad una contingenza così critica come la diffusione a livello globale del coronavirus, il rischio di questi attacchi informatici può essere ancora più elevato.
Approfittare di una situazione di crisi o difficoltà generale è prassi comune per coloro che creano campagne di e-mail phishing e malware: il loro scopo è infatti quello di suscitare a tal punto l’interesse di un utente finale da indurlo ad aprire l’e-mail ricevuta senza troppa cautela.
A seconda della campagna i truffatori potrebbero utilizzare diverse angolazioni. In momenti come questo è fondamentale, dunque, assicurarsi che i clienti e i loro utenti finali siano consapevoli dei tipi di truffe in corso. Occorre assicurarsi di avere un piano di comunicazione che fornisca informazioni valide per evitare che i propri utenti cerchino altre fonti.
Per molti anni gli hacker hanno utilizzato tecniche di spam, phishing e spear phishing con svariati obiettivi:
- Ingannare un utente inducendolo a cliccare su un allegato contenente un malware per infettare il sistema. Questo permette a un aggressore di entrare in una rete per effettuare più ricognizioni e azioni successive (tra cui l’esfiltrazione dei dati e la distribuzione di ransomware) all’interno del sistema
- Convincere un utente a visitare un sito web che eseguirà degli script per installare un malware per le stesse ragioni di cui sopra.
- Spacciarsi per un ente di beneficenza e convincere l’utente a donare fondi o a rivelare il proprio numero di carta di credito.
- Impersonare l’azienda per la quale l’utente lavora così da fargli comunicare le proprie credenziali (ad esempio creando una pagina di login di Office 365 identica a quella reale per dare accesso a un documento).
- Creare delle e-mail che sembrino una fattura di un fornitore o un messaggio di un manager interno, convincendo un impiegato della contabilità a pagare la fattura fraudolenta.
Qualcosa di così critico come la diffusione del coronavirus può lasciare spazio al dirompere di attacchi diffusi in tutto il mondo. Man mano che il virus reale si diffonde in più paesi e città, la popolazione sarà alla ricerca di informazioni aggiornate, e un’e-mail apparentemente innocua che riporta urgenza potrebbe indurre qualcuno a cadere in una truffa e mettere a rischio le proprie informazioni (o l’azienda per cui lavora).
Secondo un articolo del Wall Street Journal, queste truffe sono iniziate a gennaio in aree fortemente colpite e probabilmente aumenteranno man mano che la minaccia di contagio raggiungerà un numero maggiore di località.
Ecco alcune comunicazioni da tenere d’occhio:
- E-mail da parte delle autorità statali e locali con presunte indicazioni sulla situazione nella vostra regione con allegati o link ad altri documenti
- Comunicazione da parte delle risorse umane, dei funzionari interni, o anche da parte vostra (in qualità di fornitori di servizi all’azienda) che chiedete agli utenti di accedere per visualizzare un documento o allegati sospetti
- Notifiche di notizie false su qualcuno infetto nella vostra zona
- E-mail riguardanti le fatture in sospeso di un fornitore di dispositivi di protezione individuale o medici.
Soprattutto ora che le aziende iniziano ad adottare politiche di telelavoro, i dipendenti che non sono abituati a lavorare in un ambiente domestico potrebbero incorrere in comportamenti a rischio perché si trovano in un ambiente diverso.
Ci sono alcune azioni che potete attuare per aiutare i vostri utenti ad usare la posta elettronica e navigare in internet in sicurezza:
Stabilire un canale di comunicazione ufficiale in anticipo e assicurarsi che tutti gli utenti conoscano l’indirizzo e-mail e il formato delle comunicazioni
Da subito, in caso di eventi o circostanze particolari che interessano l’intera organizzazione o una o più regioni in cui si trovano i propri utenti, occorre inviare un’e-mail in cui si dichiara che si sta monitorando la situazione e che si invieranno aggiornamenti regolari all’organizzazione. È opportuno dichiarare la tempistica di queste notifiche e poi assicurarsi di seguire il programma in modo che gli utenti non siano tentati di cercare informazioni altrove.
Consigliate alcuni siti o risorse “controllate” che possono fornire loro informazioni legittime, e fornite i link ad essi anche nelle vostre comunicazioni.
Indipendentemente dal mercato in cui operate, è opportuno consigliare ai propri utenti di:
- Visitare solo i siti consigliati o visualizzare le e-mail di comunicazione ufficiali.
- Non cliccare sui link presenti in altre e-mail o aprire gli allegati delle e-mail che fanno riferimento all’epidemia di coronavirus, a meno che non sia possibile verificare il mittente.
- Ispezionare attentamente i campi del “Mittente”, ma anche del “Rispondi a” e le firme o il testo per verificare che non vi siano errori di ortografia o altri errori. Suggerimento: se si fa clic su “Rispondi” a un’e-mail, è possibile vedere l’indirizzo e-mail effettivo nel campo “Rispondi a”.
- Passare il mouse sui link nelle e-mail per visualizzare l’indirizzo a cui il link vi porterà. I link abbreviati e le URL confusi sono un rischio in quanto possono nascondere il sito web reale a cui si è reindirizzati.
- Non fornire mai le credenziali su un sito a cui si accede da un’e-mail, a meno di non essere sicuri al 100% che il sito sia legittimo.
- Verificare con il dipartimento IT della propria azienda tutte le e-mail che si ricevono e che potrebbero sembrare sospette.
Offrire ai propri utenti un modo per segnalare e-mail sospette, comunicazioni e potenziali compromessi
Fornire agli utenti una modalità che permetta loro di inoltrare le e-mail sospette; sarà d’aiuto per individuare un potenziale tentativo di phishing. Se si rileva, ad esempio, che più utenti hanno ricevuto la medesima e-mail, sarà possibile mettere in guarda altri utenti inviando uno screenshot come esempio di mail da considerare dannosa. Inoltre, se un utente ritiene di aver commesso un errore, può segnalarlo immediatamente, in modo da poter valutare il rischio in base alle sue azioni e fornire il consiglio più adatto, come ad esempio cambiare le credenziali fornite o individuare comportamenti sospetti sul proprio computer portatile o dispositivo.
Garantire che la sicurezza degli endpoint, la protezione della posta elettronica e i controlli di sicurezza siano aggiornati e funzionanti in tutto l’ambiente
In caso di telelavoro, è importante proteggere i dispositivi aziendali che gli utenti portano a casa. Ciò significa garantire che le soluzioni di sicurezza della posta elettronica siano configurate con impostazioni adeguate così da evitare che e-mail di phishing arrivino alle caselle di posta elettronica, così come sarà necessario assicurarsi che tutti i dispositivi abbiano agent di sicurezza degli endpoint e soluzioni aggiornate. È anche importante garantire che gli utenti possano accedere all’ambiente di lavoro in modo sicuro con VPN o altri strumenti di accesso remoto protetti con l’autenticazione a due fattori (2FA).
Infine, occorre assicurare che i dipartimenti IT siano a supporto degli utenti che lavorano da remoto, poiché probabilmente avranno bisogno di assistenza per la configurazione in un ambiente domestico.
Bastano pochi minuti per tenere aggiornati i propri team, i clienti e gli utenti finali grazie a un approccio consulenziale di fiducia. Questo può fare una grande differenza nel dimostrare il proprio valore come fornitore di servizi.
A cura di Gill Langston, Head Security Nerd presso SolarWinds MSP