Truffe via PEC - Far perdere tempo e denaro alle aziende italiane

Accedi alla traduzione in inglese qui.

Una breve introduzione alla PEC (Posta Elettronica Certificata)

Il servizio consente ai mittenti di dimostrare in sede legale che un'email è stata inviata e ricevuta da una casella PEC ad un'altra casella PEC. È un servizio utilizzato spesso per inviare documenti importanti alla pubblica amministrazione, ai cittadini e alle aziende private. Poiché le email hanno valore legale, ciò significa che il destinatario non può rifiutare la mail né affermare di non averla ricevuta.

La PEC è un servizio affidabile?

Secondo i dati ufficiali di AgID, nel 2022 c'erano circa 15 milioni di caselle PEC attive in Italia, e sono stati scambiati oltre 2,5 miliardi di messaggi, rendendola uno strumento altamente diffuso, efficace ed affidabile. Ispirata dal successo della PEC, la Commissione Europea sta promuovendo l'adozione della REM (Registered Electronic Mail) in tutta l'UE, un'iniziativa volta a standardizzare e affrontare la mancanza di interoperabilità tra i servizi di posta elettronica certificata digitale all'interno dell'Unione. A prima vista, una cosa perfettamente sensata.

Tuttavia, attori malintenzionati stanno già utilizzando la PEC per inviare email pericolose, sfruttandone le funzionalità di ricezione garantita per colpire persone ed aziende comuni. Con una "PEC europea" interconnessa con una copertura di tutta l'Unione Europea, i criminali potrebbero avere molte piu' opportunità per sfruttare la posta certificata a scopi malevoli.

Come possono le aziende proteggere la loro casella PEC?

Considerando il potenziale ambito della cosiddetta "PEC europea", il numero di potenziali vittime è destinato a crescere esponenzialmente. Quindi, come possono i titolari di aziende proteggere le loro caselle di posta? Ecco un rapido elenco di cinque passaggi che aiutano a mitigare i rischi:

• Configura la tua casella PEC per accettare messaggi solo da altre caselle PEC. Anche se questo non risolve casi come quello che presentiamo, contribuirà molto probabilmente a ridurre lo spam proveniente da caselle non PEC.
• Usa una password complessa e unica, e abilita l'autenticazione a due fattori dove possibile.
• Non condividere mai le tue credenziali di accesso... con nessuno.
• Controlla sempre l'indirizzo del mittente delle email ricevute.
• Non cliccare su link sospetti, ma prima passa il cursore sopra di essi: se il link non sembra sensato è un segnale d’allarme.
• Prima di intraprendere qualsiasi azione sulla quale hai dubbi, come il pagamento di una fattura della quale non hai memoria, verifica sempre l'email con il mittente.

Dopo aver elencato i principi di base per proteggere la tua azienda da PEC potenzialmente malevoli, esaminiamo più da vicino un reale tentativo di truffa.

La truffa della “fattura via PEC”

Da appassionato di motori, seguo il canale YouTube "GASI Garage" da anni. Mentre visionavo l'ultimo video del GASI, sono rimasto scioccato nel sentire Gabriele parlare di PEC, spam e truffe... apparentemente il lavoro ti segue ovunque!

In breve, le credenziali per l'accesso alla PEC di qualche sfortunato utente italiano sono state rubate ed utilizzate per inviare malspam a centinaia di altri indirizzi PEC, incluso quello di Gabriele. Ecco l'email che ha ricevuto:

Buongiorno GASI Automobili, Desideriamo informarvi che, in base al contratto firmato il 25/11, dovete pagare 142 euro. Tuttavia, tale importo non è stato ancora saldato nonostante numerosi solleciti via email. Se non pagate entro 5 giorni, sarò costretto a contattare il mio avvocato per ulteriori azioni legali. Questo è un avviso formale che interrompe ogni prescrizione. Potete scaricare la fattura cliccando sul link “Fattura” (sottolineato!) Cordiali saluti,

Questo è un classico esempio di email malevola "devi pagare questa fattura - clicca qui", dove "qui" è un link ad un malware o ad un tentativo di phishing.

Poiché la PEC ha valore legale, Gabriele non poteva semplicemente ignorarla, soprattutto perché, come ha ammesso lui stesso, non è molto esperto di tecnologia. Questo ha scatenato una serie di verifiche, tra cui:

• Determinare se e dove aveva speso il quantitativo di denaro menzionato nella PEC
• Controllare le sue fatture in entrata
• Chiedere al suo commercialista di controllare lo storico fatture
• Contattare il mittente (poiché essendo una PEC non poteva essere falsificato) per chiarimenti

Questo ha causato una sensibile perdita di tempo (e di conseguenza, di denaro) per Gabriele. Quando finalmente è riuscito a contattare il mittente della PEC, ha scoeprto di essere almeno la centesima persona che lo stava facendo. Questo suggerisce che innumerevoli altre persone hanno probabilmente sprecato ore di lavoro preziose facendo gli stessi controlli. Inoltre, il mittente della PEC ha dovuto spiegare ripetutamente a tutti che il problema non era direttamente colpa sua, aggiungendo ulteriore tempo perso e frustrazione. Alla fine, tutto ciò è costato collettivamente centinaia di ore/uomo.

La stessa campagna, di nuovo?

Esatto! Mentre ero in palestra, il proprietario, sapendo di cosa mi occupo per lavoro, mi ha mostrato un'email sospetta. Non potevo crederci: era esattamente la stessa email che aveva ricevuto il GASI - solo che questa volta avevo anche un sample del malware sotto mano!

Di che malware si tratta?

Spamhaus Malware Labs ha determinato che cliccare il link malevolo nell'email scatena il download di un file VBScript, che a sua volta, se eseguito localmente, scarica il malware MintsLoader. Questo malware agisce come un "dropper", facilitando l'installazione di ulteriori malware, come ad esempio credentials stealers per il furto di credenziali, RAT o altri payload malevoli. Il risultato dell'infezione è molto probabilmente l'esfiltrazione delle proprie password per essere a loro volta sfruttate per attivita' di malspamming.

Cosa è successo alle vittime?

Fortunatamente non ci sono state gravi conseguenze sia per il GASI che per il proprietario della mia palestra. Sono stati abbastanza accorti da insospettirsi e non cliccare sul link contenuto nella mail ricevuta. Tuttavia, nella vita di un meccanico, un proprietario di palestra o un qualsiasi altro imprenditore, il tempo utlizzato per effettuare tutte le verifiche su questa fantomatica fattura equivale a denaro perso. Spam e email malevoli non sono solo problemi tecnici, ma hanno conseguenze reali nella vita quotidiana.

Fornitori di caselle PEC: stanno facendo qualcosa?

Le normative PEC consentono generalmente il rifiuto di virus e malware, ma non tutte le forme di messaggi indesiderati (spam) possono essere rifiutate. Purtroppo, i fornitori che gestiscono le caselle PEC tendono ad applicare misure di sicurezza minime, spesso solamente la scansione degli allegati per virus. L'uso di misure più rigorose come ad esempio l'uso di blocklist in tempo reale o filtri anti-spam, rischia complicazioni legali.

Persino spostare le email PEC nella cartella spam è raro, come dimostrato da un caso giudiziario in cui un'email erroneamente finita nella cartella spam ha portato il tribunale a dichiarare che il destinatario era comunque responsabile nel controllare tale cartella. A causa di situazioni come questa, i fornitori di PEC hanno pochi incentivi a fornire qualcosa di più oltre il minimo livello di sicurezza per le caselle PEC. Di conseguenza, imprenditori come Gabriele sono più esposti a ricevere spam, truffe e altre email malevoli nelle loro caselle PEC.

Se ricevi un'email sospetta segui i consigli di questo blog, segnalala al tuo fornitore PEC e condividila con Spamhaus tramite il Community Portal.