In una settimana sono state compromesse 500mila caselle di posta elettronica certificata grazie a messaggi infettati che si nascondevano dietro finte fatture
Circa 500 caselle pec compromesse, 265mila messaggi di phishing inviati in sette giorni, un testo di email clonato dal servizio pubblico e un sistema di tracciamento dei destinatari. Sono gli ingredienti della campagna di raggiro lanciata via posta elettronica certificata, per raccogliere informazioni dalle potenziali vittime. I destinatari vengono invitati in modo fraudolento a inviare a un indirizzo di posta sconosciuto le proprie comunicazioni con il sistema di interscambio, la struttura istituita dal Mef per la trasmissione delle fatture elettroniche verso l’amministrazione o privati.
L’allarme è stato lanciato nei giorni scorsi dall’Agenzia delle entrate e dal Computer emergengy response team Pubblica amministrazione (Cert-Pa), che lavora sotto l’egida dell’Agenzia per l’Italia digitale. I phisher avrebbero clonato una comunicazione pec lecita emessa a inizio ottobre da Sogei, società informatica controllata al 100% dal ministero dell’Economia e delle finanze, contestualmente al sistema di interscambio.
Strutture pubbliche, private e iscritti a ordini professionali sono i principali destinatari di questa campagna di email malevole, indirizzate a caselle di posta PEC. L’oggetto recita “Invio File ” e menziona l’allegato “ITYYYYYYYYYY_1bxpz.XML.p7m”, che tuttavia non compare (dove X e Y sono stringhe numeriche identificative). L’ipotesi è che i truffatori vogliano dare credibilità al messaggio “mimando” informazioni verosimili, ma l’assenza dell’allegato e altri dettagli lo rendono palesemente falso.
Il nome display del mittente corrisponde all’indirizzo pec di un iscritto a un ordine professionale, riportato anche nel campo “destinatario”, mentre il mittente effettivo è una casella pec di una società italiana. Il testo fa riferimento a un “nuovo indirizzo da utilizzare per inviare le prossime fatture al sistema di interscambio“, che coincide invece con l’account mittente compromesso. L’aggressore tenta così di farsi inviare tutte le eventuali fatture e raccoglie dati per elevare in futuro il livello di attacco.
Email, autenticazione a due fattori (2FA) o due passaggi (2FV) Foto di William Iven da Pixabay“In realtà, il mittente autentico dei messaggi pec del sistema Sdi è solo del tipo sdiNN@pec.fatturapa.it dove NN è un progressivo numerico a due cifre, inoltre il messaggio deve contenere necessariamente due allegati composti in accordo alle specifiche tecniche sulla fatturazione elettronica”, spiega l’Agenzia delle entrate.
Il corpo mail, inoltre, contiene un richiamo ad una risorsa remota, un meccanismo di tracking che si abilita all’apertura del messaggio e punta al dominio “pattayajcb[.]com”. “Serve a dare ai truffatori statistiche sulle mail che hanno inviato, quante volte sono state aperte e da quale indirizzo IP. Tutte le newsletter moderne hanno un analogo sistema di tracking. Anche i truffatori probabilmente hanno i lodo obiettivi e kpi”, spiega Luca Sambucci, direttore operativo di Eset Italia.
Già a settembre un’altra campagna aveva tentato di veicolare una variante del malware sLoad. Il messaggio aveva in un numero di protocollo simile a quello usato nelle classiche comunicazioni dell’Agenzia delle entrate. Tuttavia, l’allegato includeva un file .zip recante un file .pdf non valido e un .vbs “che rappresenta il primo stadio di infezione volta ad avviare la compromissione vera e propria del computer del destinatario, secondo un articolato schema di attacco che utilizza in modo fraudolento gli strumenti generalmente presenti nei sistemi operativi Windows”, per ottenerne il controllo. Lo spiegano i tecnici dell’ente pubblico, che raccomandano di cestinare le email sospette, senza nemmeno aprirle, di non toccare gli allegati e tantomeno dare seguito alle comunicazioni.
“La pec non è più sicura di una mailbox normale (anche se dovrebbe esserlo, visto il valore legale) – spiega Sambucci -. La sicurezza è data dalle procedure di accesso, e per rendere più sicuro il login di qualsiasi casella andrebbe aggiunta una autenticazione a due fattori (2FA) o a due passaggi (2SV), perlomeno quando si accede da un network non precedentemente noto. Se diventasse obbligatoria, almeno per le pec, avremmo una drastica riduzione di queste truffe e il sistema di posta certificata tornerebbe a godere di quella buona reputazione che oggi nella mente degli utilizzatori si sta incrinando”.
Leggi anche