La settimana 44 in retrospettiva

09.11.2021 - Il numero di segnalazioni pervenute all’NCSC la scorsa settimana è stato moderato. Oltre a numerose e-mail di phishing, sono stati osservati soprattutto attacchi a server di Microsoft Exchange, dai quali sono poi state inviate e-mail contenenti software dannosi. Inoltre, una nuova variante di truffa mostra come dopo aver richiesto un’offerta per un morsetto a vite da utilizzare sott’acqua si finisce su un sito Internet sospetto.

Invio di un software dannoso per e-mail dopo un attacco a server Exchange

Già due settimane fa l’NCSC ha informato in merito all’aumento di e-mail che riprendono scambi esistenti e contengono link verso un malware. Lo scambio di e-mail realmente avvenuto induce la vittima ad aprire un documento e così a installare il software dannoso.

Per ottenere questi vecchi messaggi gli aggressori devono avere accesso all’account del mittente o del destinatario. Il malware Qakbot utilizzato nei casi riportati contiene un modulo che utilizza le credenziali rubate per estrarre le e-mail dal client Outlook della vittima, caricarle su un server remoto e usarle per successivi attacchi. In genere l’invio delle e-mail falsificate viene però effettuato tramite l’infrastruttura degli aggressori, ciò che permette di scoprire l’inganno.

Negli ultimi giorni però è stato segnalato più volte che le e-mail vengono inviate dall’infrastruttura di posta elettronica dell’azienda. Ciò significa che, per l’invio, gli aggressori utilizzano almeno i dati di accesso di un account di posta elettronica dell’azienda hackerato. L’NCSC sospetta che gli aggressori non accedono soltanto utilizzando credenziali trafugate, ma anche direttamente dal server Exchange sfruttando una vulnerabilità.

  • L’NCSC consiglia ai gestori di server Microsoft Exchange di installare immediatamente tutte le patch necessarie e di mantenere aggiornati i server.
  • I server Exchange non devono essere direttamente accessibili da Internet. Attivate un WAF («web application firewall») o un proxy SMTP che filtri il traffico dati prima del server Exchange.

Richiesta di offerta con un secondo fine fraudolento

La scorsa settimana l’NCSC ha ricevuto la segnalazione di un’e-mail insolita, apparentemente inviata a diverse imprese a nome delle FFS con una richiesta di offerta per un modello molto particolare di morsetto a vite che possa essere utilizzato sott’acqua. Già l’e-mail precisa che, essendo il prodotto molto esclusivo, probabilmente non è presente nel catalogo e dovrà essere acquistato presso un’altra ditta. Il messaggio indica anche che la commessa è urgente.

Richiesta di offerta per un morsetto a vite da utilizzare sott’acqua
Richiesta di offerta per un morsetto a vite da utilizzare sott’acqua

Cercando il prodotto su Google, in cima alla lista dei risultati viene visualizzata una ditta che vende esattamente il modello auspicato. Il modello da ordinare esiste soltanto su questo sito Internet. Casualmente questa ditta ha una sede anche in Svizzera e un numero di telefono svizzero. Il pezzo raro può quindi essere ordinato senza problemi. Sembra una commessa che può essere evasa rapidamente con un utile adeguato.

Ma esattamente cosa si cela dietro a questa richiesta apparentemente innocua? Gli aggressori partono dal presupposto che le imprese cerchino in Internet informazioni sul morsetto a vite e in particolare sulle ditte che lo forniscono. Ed è proprio qui che si cela la trappola!

Ricerca del modello di morsetto a vite su Google
Ricerca del modello di morsetto a vite su Google

Le incongruenze si notano soltanto dopo un’osservazione più attenta e un’analisi del sito Internet, che è stato attivato soltanto il 1° ottobre 2021, ossia un mese prima che i truffatori passassero all’azione, in modo da permettere a Google di indicizzare la pagina. L’indirizzo di contatto indicato non esiste e la ditta non è iscritta nel registro di commercio. Si suppone quindi che gli aggressori abbiano creato il sito Internet appositamente per attirare gli interessati al tenditore di bulloni subacqueo e indurli a pagare in anticipo. Ovviamente il prodotto non verrà mai consegnato. Questo tipo di truffa è noto come «request for quotation» (richiesta di offerta).

  • Prima di effettuare un acquisto in Internet verificate la serietà della ditta.
  • Oltre alle informazioni disponibili in Internet, anche verificare il numero del registro di commercio o l’indirizzo può fornire indicazioni circa la serietà dell’impresa.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 09.11.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/wochenrueckblick_44.html