Share On Facebook
Share On Twitter
Share On Google Plus
Share On Linkdin

PEC e malware: quanto è sicura la Posta Elettronica Certificata?

PEC e malware: quanto è sicura la Posta Elettronica Certificata?
29 maggio 2017 Valeria Deidda
sicurezza-informatica-corporate1.jpg
Chi non aprirebbe un allegato da una mail PEC? Chi avrebbe mai pensato che uno strumento come la PEC (Posta Elettronica Certificata) potesse diventare un veicolo di attacco? Chi non aprirebbe un allegato, cliccherebbe su un link o scaricherebbe un file .zip proveniente da una PEC?
Sì, è proprio così: neanche la PEC è sicura.

I ransomware attaccano le PEC

Non esiste un giorno in cui non ci sia un attacco informatico: i cyber attacks colpiscono tutti e tutto.
Da alcuni mesi si stanno diffondendo ransomware che riescono a infettare anche la Posta Elettronica Certificata. È facile comprendere come la diffusione dei malware si sia rivelata in poco tempo un’epidemia; soprattutto se a colpire le caselle mail sono allegati provenienti (apparentemente) dall’Agenzia delle Entrate, come sta avvenendo nelle ultime settimane. I domini dai quali arrivano mail malevole sono – come sempre – apparentemente ufficiali, ad esempio: posta-certificata@legalmail.it; posta-certificata@sicurezzapostale.it oppure 123456789@legalmail.it o ancora 987654321@legalmail.it.

Lo scopo degli attacchi attraverso la Posta Certificata è quello di reperire credenziali bancarie e indirizzi mail, oltre a controllare un computer e riuscire a infettarne altri.
I danni riguardano: acquisizione impropria di informazioni, messaggi e comunicazioni cifrate, password trafugate.

Cosa succede se la vittima apre, scarica o clicca su un contenuto malevolo?

Il ransomware inizia a criptare i file e lascia alla vittima un messaggio con le istruzioni per decifrare i dati: nel 100% dei casi si chiederà di pagare un riscatto.
Il riscatto viene solitamente pagato con il bitcoin, la famosa moneta elettronica virtuale difficilmente rintracciabile che il cyber criminale convertirà successivamente in moneta reale. A pagamento avvenuto, teoricamente la vittima riceverà una chiave per decifrare dati e documenti sottratti.
Con la nuova normativa sui dati personali (GDPR), che entrerà in vigore da maggio 2018,  in caso di attacco informatico con violazione dei dati, la vittima è obbligata entro 72 ore a comunicare alla polizia postale l’accaduto e in alcuni casi anche ai soggetti interessati dalla violazione.

Pagando il riscatto si è sicuri di riottenere tutto?

E’ da premettere che pagando un riscatto si commette un illecito e in seconda battuta, pagando non si è certi di riottenere i propri dati sottratti. Si possono infatti presentare diversi scenari:

  • Non si riceve la chiave nonostante il pagamento
  • Si riceve una chiave non funzionante
  • Viene richiesto un altro pagamento prima di ottenere la chiave
  • Si riceve una chiave funzionante, ma si subisce immediatamente un ulteriore attacco

Come proteggere la PEC

Per proteggere la PEC è necessario adottare le buone pratiche individuali utili a proteggere in generale dati e informazioni digitali:

  • Aggiornare costantemente i sistemi operativi di tutti gli smartphone, tablet o PC
  • Non memorizzare le credenziali di accesso alla mail su dispositivi/computer
  • Dotarsi di password robuste e cambiarle periodicamente
  • Verificare l’attendibilità delle mail, non aprire allegati di dubbia natura provenienti da fonti note che contengono file eseguibili (.exe) oppure file office (.doc, .xls…) che chiedono di abilitare le macro
  • Diffidare dalle email di istituzioni finanziarie o piattaforme di pagamento online che chiedono di cliccare un link per aggiornare dati personali
  • Prestare attenzione a mail che segnalano virus su PC o dispositivi mobili
  • Affidare la protezione della propria rete aziendale a professionisti del settore che offrono servizi di outsourcing di “Sicurezza Gestita” (Managed Security) utili per scegliere la tecnologia più adeguata e per gestirla attraverso un SOC (Security Operation Center).
Il nuovo regolamento per la protezione dei dati personali GDPR impone alle aziende di adottare le contromisure adeguate per proteggere i dati personali presenti in azienda. Quindi queste contromisure non sono più facoltative ma in alcuni casi diventano essenziali per essere conformi alla normativa.