La settimana 20 in retrospettiva

26.05.2021 - Il numero di segnalazioni pervenuto all’NCSC la scorsa settimana si situa nella media. Da menzionare in particolare le segnalazioni sulla truffa del CEO, una nuova procedura per tendere tranelli mediante annunci e un metodo ormai noto per diffondere malware.

Statistiche attuali

Segnalazioni a settimana negli ultimi 12 mesi

Segnalazioni della scorsa settimana per categoria

Truffa del CEO – Come alcuni siti web facilitano il lavoro degli hacker

È possibile eseguire un altro pagamento oggi? Qual è il limite a noi accordato per pagamenti urgenti? Queste sono due tra le domande più frequenti inoltrate per e-mail alla divisione Finanza di un’azienda da parte di un sedicente capo nell’ambito di una truffa del CEO. Con l’espediente di una storia plausibile, la persona contattata viene indotta a eseguire un pagamento apparentemente urgente. Prima di perpetrare l’attacco informatico, gli hacker raccolgono informazioni sull’organigramma dell’azienda, sui nomi e sulle funzioni dei collaboratori. In questa pratica ingannevole sono molto utili le informazioni pubblicate sui siti web delle aziende in cui figura il team-bersaglio con gli indirizzi di posta elettronica dei rispettivi componenti.

Sui siti web di alcune aziende sono riportate anche altre informazioni interessanti per i truffatori. In due casi segnalati all’NCSC la scorsa settimana, i truffatori hanno utilizzato abusivamente l’elenco dei partner commerciali a livello internazionale, che conteneva gli indirizzi di posta elettronica delle persone di contatto. Facendo credere che il contingente d’importazione dalla Cina fosse già esaurito, i truffatori hanno chiesto ad alcune aziende di ordinare un macchinario per la produzione di imballaggi e ‒ beninteso ‒ di procedere al pagamento. Ovviamente la presunta azienda cinese non esiste e l’importo sarebbe passato direttamente sul conto dei truffatori.

Attenzione quindi a pubblicare informazioni sui collaboratori di un team e sui vostri partner commerciali! In particolare, evitate di pubblicare dati di contatto come indirizzi di posta elettronica.
Se intendete rendere noti questi dati sul sito web, sensibilizzate i vostri collaboratori su tali tentativi di raggiro.

Venditori chiamati alla cassa

Nella settimana 17 l’NCSC ha trattato il tema dei tentativi di truffa mediante le piattaforme di annunci. La truffa funziona così: con un pretesto qualsiasi si esige che il venditore paghi un emolumento al compratore o a una presunta azienda prima del pagamento della merce acquistata. Spesso si tratta di improbabili spese di trasporto che il venditore sarebbe tenuto a pagare in anticipo. In una variante più recente, si chiede di saldare le spese tramite una semplice telefonata. La vittima deve chiamare per 20 minuti un numero di telefono a pagamento. Con una tariffa di 4.90 franchi al minuto, alla fin fine la vittima si ritrova a sborsare 98 franchi.

Diffidate delle richieste dei compratori! Insistete affinché le spese di consegna e trasporto siano a loro carico. Precisatelo in modo esplicito anche nell’annuncio.

Diffusione di malware – Il trucco delle vecchie e-mail

Già con il malware «Emotet» la vittima veniva indotta ad aprire un documento o un link il cui contenuto era racchiuso in un’e-mail a lei nota. All’inizio dell’anno la rete «Emotet» è stata disattivata dalle autorità di perseguimento penale. La problematica però rimane, perché si ricorre a tale procedura anche per diffondere altre famiglie di malware. La settimana scorsa sono pervenute numerose segnalazioni riguardanti il malware «QakBot». Qui si utilizzano vecchie e-mail note al destinatario che vengono nuovamente inviate con un link a un documento di Office nocivo. Poiché l’e-mail è conosciuta, c’è un’elevata probabilità che la vittima clicchi sul link. «QakBot» ha un cosiddetto «e-mail collector module» che si serve delle credenziali rubate per estrarre le e-mail dal client Microsoft Outlook della vittima, caricarle su un server remoto e usarle per attacchi successivi.

La caratteristica di «QakBot» è che il documento nocivo contiene un’introduzione che descrive come attivare la funzione macro. Quest’ultima è sfruttata dal malware per insinuarsi nel computer. Perciò si consiglia di tenerla sempre disattivata.

E-mail nocive possono arrivare anche da mittenti conosciuti. La prudenza è d’obbligo quando, ad esempio, in uno scambio di e-mail appaiono improvvisamente informazioni fuori contesto. I malware si diffondono spesso tramite documenti di Office. Nella maggior parte dei casi ciò avviene mediante la funzione macro. Non autorizzate mai la sua attivazione!

Ultima modifica 25.05.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/wochenrueckblick_20.html