Settimana 11: interessante tentativo di truffa del CEO e diffusione di malware durante il rinnovo di un visto

22.03.2022 - Anche la scorsa settimana il numero di segnalazioni pervenute all'NCSC è stato elevato. Un elaborato tentativo di truffa del CEO è fallito a causa della «cultura del tu» di un'azienda, portando alla luce l'abuso di domini parcheggiati. Inoltre, con il pretesto del rinnovo di un visto è stato diffuso un malware.

Un elaborato tentativo di truffa del CEO viene subito a galla

La forma di truffa con cui il presunto CEO di un'azienda o il presidente di un'associazione dispone al responsabile delle finanze o al cassiere un ordine di pagamento «confidenziale» è detta «truffa del CEO». I truffatori falsificano l'indirizzo del mittente dell'e-mail e provano così a guadagnarsi la fiducia della vittima e a farle avviare una corrispondenza via e-mail con il presunto CEO. A tal fine cercano di far sembrare i falsi indirizzi il più plausibili possibile. Ottengono tali indirizzi da un cosiddetto «domain grabber», una società che registra diversi domini per rivenderli a un prezzo elevato. Il «domain grabber» consente di utilizzare i domini parcheggiati per inviare e ricevere e-mail. Per esso questo è un modello di business e i truffatori lo usano a proprio vantaggio.

In un tentativo di truffa del CEO segnalato all'NCSC in ambito sanitario i domini «dr.com» e «consultant.com» sono stati sfruttati in questo modo.

Tentativo di truffa del CEO via e-mail; i nomi di dominio utilizzati abusivamente sono evidenziati con un riquadro rosso.
Tentativo di truffa del CEO via e-mail; i nomi di dominio utilizzati abusivamente sono evidenziati con un riquadro rosso.

Benché l'e-mail fraudolenta fosse elaborata e risultasse particolarmente autentica, la persona contattata, molto attenta, si è subito accorta che si trattava di una truffa. I truffatori non sapevano che in questa società vige la «cultura del tu» e nell'e-mail hanno quindi utilizzato un appellativo formale.

  • Sensibilizzate tutti i collaboratori in merito alle truffe del CEO! Occorre informare in particolare i collaboratori delle divisioni finanziarie e quelli che occupano posizioni chiave in merito a questi tentativi di raggiro. Nelle associazioni devono essere istruiti tutti i membri che svolgono la funzione di presidente o tesoriere.
  • Tutti i processi che riguardano il traffico dei pagamenti dovrebbero essere disciplinati in modo chiaro all’interno dell’azienda e dovrebbero sempre essere rispettati dal personale (ad es. principio del doppio controllo, firma collettiva a due).
  • Regola generale: non divulgate informazioni interne e prestate molta attenzione in caso di richieste di pagamento. Non eseguite versamenti che presentano caratteristiche insolite.

Un malware anziché un visto per la Thailandia

All'NCSC è stato segnalato un nuovo metodo per diffondere malware. Una persona che si reca regolarmente in Thailandia ha ricevuto un'e-mail con la richiesta di aggiornare i propri dati personali per il suo visto d'entrata nel Paese. Poiché prevede di soggiornarvi nel prossimo futuro, ha dato seguito a tale richiesta. Successivamente ha ricevuto un'e-mail contenente un link che rinviava a un presunto modulo di richiesta di visto.

Il link per il download rinvia a un file HTML.
Il link per il download rinvia a un file HTML.

Cliccando sul link per il download si apriva un documento HTML, che veniva in parte visualizzato direttamente nel relativo browser.

Aprendo il file HTML si visualizza un sito web dall'aspetto ufficiale contenente l'immagine ISO dannosa.
Aprendo il file HTML si visualizza un sito web dall'aspetto ufficiale contenente l'immagine ISO dannosa.

Il documento HTML conteneva una presunta pagina di registrazione dei dati di passaporto e un'immagine ISO, la quale veniva subito visualizzata come presunto download. I computer trattano i formati ISO come CD o DVD eseguibili e spesso contengono supporti di installazione, ad esempio per giochi o programmi di gestione per l'ufficio. Per questo motivo le immagini ISO vengono spesso immediatamente aperte.

L'immagine ISO segnalata conteneva un gestore di download («download manager») maligno, che tenta di installare un trojan nel sistema.

  • Diffidate di tutte le e-mail non richieste.
  • Siate particolarmente cauti se dovete aprire o scaricare un file.
  • Non autorizzate mai l’esecuzione di file ricevuti in tal modo.
  • Segnalateci i ciberincidenti di questo tipo allegando, se possibile, l’e-mail in questione.
    Modulo dell'NCSC per la segnalazione di ciberincidenti

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 22.03.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2022/wochenrueckblick_11.html