L’utilizzo della PEC, soprattutto dopo l’avvio della fatturazione elettronica, è ormai parte integrante della routine di aziende e partite IVA, e ne sta prendendo piede l’utilizzo anche da parte di privati.
La Posta Elettronica Certificata è un sistema che permette di inviare e ricevere e-mail che hanno a tutti gli effetti valore legale, a cui vanno aggiunte tutte quelle caratteristiche di sicurezza che permettono la quasi totale inviolabilità del messaggio stesso – o almeno, così credevamo!
Tentativi di phishing tramite PEC
Già solo nei primi mesi del 2020 si è vista un preoccupante incremento di tentativi di phishing (un tipo di truffa effettuata su Internet, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso) o di diffusione di malware (virus informatici) tramite PEC.
Per citare alcuni esempi, ad inizio anno le PEC Aruba sono state invase da messaggi che invitavano a rinnovare i propri dati di fatturazione, cliccando su un link che reindirizzava ad un sito fasullo, creato ad hoc per carpire le informazioni necessarie per disporre del conto corrente della vittima.
Con l’arrivo del COVID-19, poi, c’è stata una campagna di phishing studiata per sembrare inviata direttamente dall’INPS, in cui veniva richiesto di accedere ad un link (poi rivelatosi malevolo) per riscuotere il bonus da 600€.
La più recente è una PEC che sembra inviata dal Tribunale di Napoli, in cui vengono usati nomi esistenti e che hanno nessi tra loro – è stata addirittura creata una mail istituzionale verosimile!
Nella foto, come si presenta la mail malevola.
In Italia questo tipo di attacchi non è una novità, ma fino a poco tempo fa era molto meno frequente.
Parte dell’efficacia della scelta di questa modalità risiede nel fatto che la Posta Elettronica Certificata è sempre stata ritenuta un canale di comunicazioni sicuro, in quanto ufficiale.
Parte invece nel fatto che, avendo già la ricevuta di accettazione valore legale, nessuno penserebbe di ignorare una PEC ricevuta, e viene anzi consultata con molta premura.
Come riconoscere un tentativo di phishing via PEC?
Queste truffe vengono ben congegnate, tanto che spesso è difficile capire se ci si trova davanti una PEC malevola – come fare, quindi, a capire se si tratta di un tentativo di phishing?
Oltre alle accortezze che abbiamo suggerito in questo articolo, ci sono dei fattori peculiari della PEC da considerare.
Se sembrano riprendere comunicazioni inerenti al sistema SdI:
Sono capitati casi in cui sono presenti due allegati, uno in formato .pdf che dà un messaggio di errore per cui sembra danneggiato, ed un altro con lo stesso nome ma con un’estensione diversa (ad esempio, comunicazione clientela.pdf e comunicazione clientela.vbs): in questo caso non si deve assolutamente aprire l’altro file, che quasi sicuramente contiene un malware.
Anche nella fretta, o nella preoccupazione che certe comunicazioni potrebbero causare, vale la pena di fermarsi ad ascoltare l’istinto: se la mail ci sembra incomprensibile, inspiegabile o sospetta, probabilmente lo è!
Cosa fare una volta indentificata la minaccia?
Pur se non siamo ancora sicuri che si tratti del tentativo di nuocere di un malintenzionato, nel dubbio è sempre meglio confrontarsi con chi si occupa di sicurezza e sistemi IT.
Quando invece siamo sicuri, è buona norma avvisare il mittente da cui sembra provenire la mail: se sembra provenire da un organo istituzionale (come nel caso del Tribunale di Napoli), la segnalazione è necessaria per permettere di prendere provvedimenti, e diramare un comunicato ufficiale al fine di tutelare le possibili vittime.
Se invece sembra spacciarsi per un nostro cliente/collaboratore/fornitore, è importante che lo sappia per verificare se la sua sicurezza è stata compromessa, o comunque per prendere pubblicamente le distanze da questo tentativo di truffa associato al loro nome.
In ogni caso non si deve cliccare su link o allegati, e la PEC va cestinata immediatamente.