Phishing e coronavirus, tecnologia e formazione per proteggersi dai cyberattacchi

Si chiama “Coronavirus campaign” ed è la nuova minaccia dalla quale le imprese italiane, e non solo, devono imparare a difendersi. A scoprire la nuova campagna malware è stata Sophos, azienda da più di 30 anni impegnata nel campo della sicurezza e in particolare dal 2011, con l’acquisizione di Astaro, attiva sul progetto di sicurezza sincronizzata dei dati, a caccia di virus e soprattutto malware di ultima generazione.

Sull’onda dell’apprensione generale scaturita dall’emergenza sanitaria legata al rapido diffondersi dell’epidemia, che vede il nostro Paese come secondo più colpito al mondo dietro la sola Cina da cui è partito il virus, proprio gli account email italiani sono il principale target di questa campagna di Trickbot, un trojan bancario che sfruttando alcune vulnerabilità dei sistemi operativi e recupera credenziali di account bancari e paypall, andando a scandagliare anche la cronologia per rubare eventuali password salvate.

Un vero e proprio furto digitale che segue il classico modello del phishing: una mail – con oggetto “Coronavirus: informazioni importanti su precauzioni” – in cui il mittente si spaccia per un rappresentante italiano dell’Organizzazione mondiale della sanità (Oms) e che contiene presunte indicazioni sulla prevenzione circa il contagio da coronavirus.

Un’esca spietata che, sfruttando l’ondata emotiva del momento, invita l’utente a cliccare su un allegato, apparentemente un banale file word, contenente, però, uno script VBA (Visual basic for applications) che trasporta un dropper utilizzato per fornire una nuova variante di Trickbot, che collegandosi al server realizzerà il furto dei dati.

Non è la prima volta che, cavalcando la paura per un’emergenza sanitaria, viene lanciata una campagna malware: il primo caso è datato 1989 e all’epoca si sfruttava il timore del contagio di Aids. L’Aids Trojan, chiamato anche Pc Cyborg virus, era un trojan inserito su circa 20mila floppy disk da otto pollici contenenti informazioni circa il virus dell’Hiv, che dopo 90 reboot dei computer faceva apparire sullo schermo un messaggio in cui si chiedeva un trasferimento di denaro in una banca con sede a Panama.

In quel caso si trattava nello specifico di ransomware, un tipo di malware che limita l’accesso del device che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione (circa 200 dollari nel caso specifico).

Difendersi con più protezioni e informazioni

Ma come non cadere nella trappola? Lo ha spiegato in un webinar ad hoc organizzato da Sophos e promosso in collaborazione con la casa editrice ESTE, Giovanni Giovannelli, Senior Sales Engineer di Sophos Italia, anche attraverso Sophos Phish Threat, uno strumento di simulazione di attacchi di phishing finalizzato alla promozione di una maggiore consapevolezza sulla protezione e quindi alla formazione per gli utenti finali.

Prima di entrare nel dettaglio del servizio offerto da Sophos, l’esperto ha suggerito qualche consiglio utile a identificare la bontà o meno di una email e come riconoscere un’eventuale tentativo di phishing: mai fidarsi di un messaggio che contiene introduzioni e saluti generici, stile “Dear customer”; spesso le email di phishing non hanno grafiche originali, in quanto riprendono in maniera fedele i template di servizi più noti (per esempio quelli promossi dalla tivù ondemand); diffidare dei messaggi che propongono servizi e offerte lontani dalle usuali abitudini di consumo; aspetto molto comune a questo tipo di comunicazioni è il senso di urgenza che viene comunicato attraverso l’utilizzo di specifici termini come “Alert” o “Urgente” sia nell’oggetto sia nel testo del messaggio.

Altro chiaro indicatore di phishing, hanno fatto sapere gli esperti di Sophos, è la carente grammatica del testo, anche in relazione alla sintassi, pure se a oggi è difficile che una email di questo tipo presenti lacune talmente evidenti, dati i progressi sul campo. Poi è bene diffidare assolutamente di quei messaggi che annunciano l’eventuale vittoria di un premio o che chiedono la verifica dell’account attraverso link esterni. Ultimo consiglio, occhio al cybersquatting, ovvero la prassi dell’alterazione del dominio per ingannare l’utente.

Sophos Phish Threat, strumento di protezione aziendale con licenza per il mercato business, può rappresentare un’arma efficace di difesa dal Coronavirus campaign e in generale dal phishing. La soluzione serve a creare delle campagne di phishing controllate da inviare ai propri utenti per verificare il grado di conoscenza sul riconoscimento del phishing stesso.

Ha spiegato Walter Narisoni, Sales Engineer Manager di Sophos Italia: “La soluzione, fornita di una console dotata di dashboard e funzionante in cloud, permette di organizzare delle campagne sugli utenti simulando l’attacco da sottoporre, per poi vedere chi di loro clicca; all’azione del clic si aggancia un training di formazione che può durare dai cinque ai 10 minuti, una sorta di pillola informativa in cui si spiega all’utente cosa ha sbagliato e come non ripetere lo stesso errore. Lo scopo è formare gli utenti ad evitare questo tipo di attacchi”.

L’obiettivo è quindi responsabilizzare l’utente e renderlo capace di riconoscere, in modo autonomo, le mail che contengono potenziali attacchi a dati e informazioni aziendali. In tempi di coronavirus infine, data la diffusione dello Smart working, chiunque possieda già una licenza Sophos può estendere la protezione aziendale anche al proprio Pc domestico attraverso l’antivirus Sophos Home Premium.