Gli allegati via e-mail, un rischio troppo elevato per essere ignorato

Per tutti arriva il momento in cui ci si ferma, si guarda indietro e ci si pone una domanda:

Cosa avrei potuto fare per mettermi al riparo da un attacco informatico?

Spesso questo genere di domande sorgono esattamente dopo aver subito l’attacco di un virus: quando ormai è troppo tardi per pensare ai “se” e ai “forse”.
Questa volta vorremmo aiutarvi a riflettere sul problema prima che il disastro si verifichi: agire ora è la parola d’ordine.

Ma prima vorremmo calarvi in uno scenario quanto più realistico possibile.

E’ lunedì mattina.

Siamo appena arrivati in ufficio, cartellino timbrato, caffè fatto, ci sediamo alla nostra postazione pronti per affrontare la giornata e come tutti i lunedì. La prima cosa che facciamo è aprire il nostro client di posta (o per i neofiti, il programma di posta elettronica): Outlook, Thunderbird, Mail,  ecc.; tutti programmi che ci permettono di gestire le e-mail del lavoro.

Leggi, cestina, rispondi, ad un certo punto ci ritroviamo davanti a lei, l’e-mail sospetta che esordisce con un sonoro “fattura non pagata ci risulta che la seguente fattura non è stata pagata, in allegato trova il file con i dettagli”.

Normalmente, un dipendente che lavora all’interno di un’azienda e che riceve un’email di questo tipo si trova di fronte alla seguente scelta:

• Apro l’email e scopro che cosa contiene il documento in allegato?
• Mi disinteresso del contenuto e la cestino per poi avere la preoccupazione che fosse realmente qualcosa di importante?

Vogliamo rassicurarvi su questo fronte: non esiste una risposta più corretta di un’altra.
Se all’interno della vostra azienda esiste un codice di comportamento (o policy di sicurezza aziendale) che stabilisce come comportarsi di fronte a questa casistica, attenetevi a quella.
In caso contrario, le scelte che restano sono due:

• chiamare il tecnico informatico della vostra azienda per un consulto su come procedere;
• assumersi il rischio delle proprie azioni e leggere il contenuto.

In linea generale sappiamo tutti che quella e-mail è sospetta, ma poi come lo spieghiamo al nostro capo che non abbiamo svolto il nostro lavoro?

Ed ecco che quindi apriamo l’allegato. Solo in quel momento realizziamo quanto si sbagliava quella voce che risuonava nella nostra testa.
In breve tempo, tutti i file iniziano a cambiare nome: non si aprono più. Il pc sembra rallentato, ma fortunatamente ricordiamo che c’è il disco di backup collegato al nostro PC; lo apriamo sicuri di trovare tutto al sicuro, ma anche in questo caso non si apre più nulla. In quel disco c’è il backup del gestionale, anni di contabilità, che attualmente risultano illeggibili e inaccessibili.

L’azienda si ferma. Sembra che qualcuno abbia improvvisamente spento tutto con un gigantesco pulsante. Non escono più fatture e bolle, ogni minuto perso è una gigantesca perdita economica: tutto per un allegato infetto, tutto perché abbiamo aperto il documento sbagliato.
Il panico.

Assolutamente no.
È esattamente così che si svolge un attacco ransomware: l’Italia è quarta nel mondo e prima in Europa per attacchi malware secondo i rapporti di Trend Micro.

Ecco perché è importante affrontare questo tema in modo attento: non con superficialità.

Prendiamone coscienza: le e-mail sono uno dei vettori più sfruttati per la diffusione di malware.

Trojan, Cryptolocker, Ryuk, WannaCry, Petya e tutti gli altri: la loro infezione è stata resa possibile grazie all’invio di e-mail con allegati infetti.

Già a fine anni 90 numerosi virus (soprattutto worm) si diffondevano tramite Outlook Express, questo perché erano e sono tutt’ora un mezzo di comunicazione ampiamente utilizzato: aziende e utenti privati. Chi di noi non ha un indirizzo e-mail?

La risposta è che semplicemente siamo esseri umani e come tali l’errore fa parte del nostro essere. Non siamo perfetti e non siamo esseri razionali a 360°: i criminali informatici lo sanno bene.
La casella e-mail poi, è uno strumento alla portata di tutti: privati cittadini e dipendenti di aziende. Chiunque di noi ha un’indirizzo email e un archivio nel quale riceve ogni giorno decine di messaggi e contenuti.

All’hacker basterà fare leva sulla nostra emotività per spingerci a commettere degli errori, come aprire allegati sospetti o cliccare link di dubbia provenienza. Ecco che il gioco è fatto.

Il ransomware è uno dei malware che più di frequente viene diffuso tramite posta elettronica. Nello specifico, i file di un ransomware si nascondono proprio all’interno degli allegati e-mail. Nel caso in cui si tratti di un malware di questa tipologia, il nostro PC e tutte le unità connesse in rete verranno criptate: per avere nuovamente accesso alle tecnologie e ai dati, l’hacker tenterà di estorcere del denaro alla vittima. Nel pratico, viene richiesto un riscatto in moneta digitale (Bitcoin). Sono nel caso in cui la vittima colpita dovesse pagare gli viene restituita la chiave di lettura dei file, e non è neanche scontato che così avvenga.

Il danno economico maggiore spesso non è il riscatto pagato, ma il fermo lavorativo (nei casi peggiori si tratta addirittura di giorni).

Anche i worms sono diffusi via posta elettronica: in questo caso il virus non appena viene installato sul pc sottrae potenzia e operatività al dispositivo e parallelamente si propagherà sia in rete che attraverso l’invio automatico di e-mail verso i nostri contatti.

Il danno d’immagine in questo caso è lampante: i nostri contatti, vedendo un’email proveniente dai nostri indirizzi aziendali, apriranno certamente l’allegato e solo dopo scopriranno di essere stati infettati. Come se non bastasse le varianti più subdole dei worm si agganciano a delle conversazioni avvenute in precedenza con un nostro contatto aumentando così la credibilità della e-mail.

Tramite e-mail vengono diffuse anche le adesioni ad una botnet, alias un’esercito di pc zombie.

Il nostro PC potrebbe diventare parte di una botnet, una rete di computer infetti (detti bot) controllata da un solo individuo, il botmaster. Questo significa che il nostro PC può essere sfruttato da hacker per lanciare degli attacchi massivi di tutti i generi, il tutto a nostra insaputa.

Persino i virus keylogger, che rientrano nella categoria dei virus spioni (o spyware), possono essere allegati alle e-mail e spediti indistintamente a chiunque.

Esistono sul mercato deep web dei virus che prelevano dati dal PC per poi inviarli a terzi all’esterno della rete: vengono venduti per poche decine di dollari.

Ne esistono di diversi tipi, per esempio, alcuni leggono tutto ciò che digitiamo sulla nostra tastiera (keylogger) o analizzano l’entità di file che apriamo, i siti che visitiamo (spyware): in buona sostanza questi virus informatici spiano le nostre attività.

Questo al fine di capire quali sono le falle da sfruttare per attaccarci oppure identificare la dimensione della nostra azienda e capire qual è la cifra che saremmo più propensi a pagare come riscatto.

Si tratta dell’infezione per eccellenza via e-mail.

In questo caso non si tratta di virus ma di messaggi di posta elettronica veri e propri, creati per ingannarci e invitarci a comunicare dati sensibili (come password o numeri di carta di credito) all’interno di un sito che abbiamo raggiunto tramite il link presente nell’e-mail. Trattandosi di un argomento a parte rispetto agli allegati infetti, ma altrettanto affascinante vi consiglio di approfondire l’argomento nel nostro articolo che tratta il phishing.

Virus negli allegati email: quindi?

Ci teniamo a ribadirlo ancora una volta: non sono le e-mail il problema, o meglio, non è tanto il contenuto testuale dell’email ad essere portatore di infezioni malware ma lo sono gli allegati: i documenti contenuti.

Gli scenari possibili e verificabili sono veramente infiniti, ma quello che a noi interessa è ridurre al minimo la probabilità di rischio e possiamo farlo attraverso queste due modalità:

• Per l’utente: vi forniremo consigli pratici per distinguere in autonomia quali allegati dobbiamo considerare pericolosi;
• Per i computer (o le tecnologie nel loro complesso): sfruttare le tecnologie che analizzano la sicurezza delle e-mail e riducono la probabilità che nella nostra casella di posta arrivino i virus informatici.

Il controllo del mittente prevede di fare un check del nome e dell’indirizzo che visualizziamo nella parte alta del messaggio.

Fate attenzione però, quando apriamo un’e-mail è editabile dal mittente, mentre l’indirizzo e-mail non lo è, controlliamo quindi l’indirizzo e-mail e non il nome, verificando che il dominio sia coerente (es. se ci arriva una e-mail sospetta da parte di Amazon che ci chiede di confermare un cambio password del nostro account, verifichiamo che il mittente sia una e-mail nella forma [email protected] e non [email protected]).

Fateci caso, se gli allegati e-mail sono formati .zip e .rar, non apriteli.
Spesso dietro questi file (specialmente se protetti da password) si nascondono dei software malevoli (alias virus informatici) che nei casi migliori sfruttano il nostro computer per propagarsi tra i nostri contatti, nei casi peggiori potrebbe criptare il nostro PC e chiederci un riscatto (ransomware).

Vi è arrivato un allegato e-mail denominato file.exe?

Non pensateci due volte, se ricevete un’email con un documento .exe da un mittente sconosciuto o da un indirizzo insolito, ebbene cestinate subito l’e-mail. Vi spieghiamo anche perché dovete assolutamente farlo.

I file eseguibili (ovvero tutti i file che terminano con formato .exe) vengono utilizzati per installare software su un PC. Ecco perché vi consigliamo caldamente di rimuoverli prima ancora di scoprire cosa contengono. Soprattutto, se il file in questione è proveniente da un allegato e-mail inviato da mittenti sconosciuti: nella maggior parte dei casi si tratta di malware.

Malware nascosti dietro un allegato email .doc? Sì è possibile.

Tra i file da cui dobbiamo stare in guardia quando li riceviamo via e-mail ci sono i file Word (.doc, .docx), Excel (.xls, .xlsx) o Power Point (.ppt, .pptx): anche iin questo caso possiamo incorrere in minacce malware. Spesso gli utenti li considerano sicuri e tentano di scoprirne il contenuti aprendoli, è lì che il PC viene infettato.

Ma com’è possibile trasferire un malware da documento?

Diversi programmi della suite Microsoft Office permettono la creazione ed esecuzione di piccoli, ma potenti programmi: in informatica sono le macro. In questo caso gli hacker hanno individuato un terreno fertile per la creazione e diffusione di codice infetto.

Seguendo questi semplici 4 consigli sicuramente viene ridotto significamenti il rischio di contrarre un virus informatico. Inoltre, a tutte le aziende consigliamo di formare il proprio personale interno, poiché ci troviamo di fronte ad uno scenario quanto mai attuale e vicino a tutti noi: indipendentemente dalla mansione e dalla dimensione dell’azienda.

Nella condizione ideale, tutto il personale deve essere al corrente dei rischi degli allegati e-mail.

Tuttavia, alle volte, prestare attenzione non è sufficiente a proteggerci da ogni rischio: siamo essere umani e come tali possiamo sbagliare, per questo esistono degli strumenti che arrivano in nostro soccorso e ci aiutano a individuare gli allegati potenzialmente pericolosi.

Se vi state chiedendo se esiste un modo sicuro al 100% per proteggervi dagli allegati e-mail pericolosi, vi rispondiamo di sì ma con una piccola riserva.
Partiamo dal presupposto che la sicurezza a 360° non può esistere, ma possiamo assicurarvi che grazie ai nostri consigli e a qualche accorgimento in materia di cyber security potrete considerarvi sufficientemente al sicuro da questo pericolo.

Ecco dunque quali tecnologie o servizi di sicurezza informatica potete implementare in azienda per respingere una volta per tutte il problema degli allegati e-mail infetti:

• Predisporre un sistema UTM 

Il grande filtro o muro che si interpone tra internet e la nostra rete interna aziendale. La sua presenza (e la sua corretta configurazione) in realtà è una componente fondamentale in quanto fra le numerose mansioni di cui esso si occupa anche di filtrare le e-mail attraverso sistemi di antivirus e filtri antispam.

• Utilizzare tecnologie Sandbox 

Pensando all’azione della sandbox immaginate se ci fosse qualcuno che al posto vostro apre un allegato, lo testa e analizza i suoi comportamenti: le tecnologie Sandbox fanno proprio questo! Gli antivirus sono efficaci solo con le minacce già conosciute, ma con le minacce ZeroDay (nuove minacce)? La risposta chiaramente risiede nella sandbox: implementatela quanto prima.

• Utilizzare delle Webmail al posto dei client di posta

Siamo sempre stati abituati a installare Outlook e configurare le nostre e-mail sul nostro PC. Se non viene correttamente gestita da un provider attento alla sicurezza, l’email sul nostro pc può comportare il sorgere di problematiche.
In extremis, le web mail spesso integrano dei servizi antivirus e antispam evoluti , oltretutto scansionano i messaggi prima di recapitarli al destinatario. Per i client di posta spesso non è così, il messaggio viene scaricato sul PC e poi scansionato.

Ma in questo caso dipende da caso a caso: per saperne di più sulla vostra situazione aziendale vi consigliamo di chiedere un confronto con un’azienda specializzata in cyber security.

• Antivirus per email

Sembra banale, ma i servizi di protezione antispam si occupano di scansionare i file in arrivo sull’email e segnalare la presenza di infezioni. Se si tratta di una minaccia nota si preoccuperà di spostarla in quarantena e sarete voi a decidere quale sorte destinare all’elemento. Dobbiamo tenere a mente che da solo, un software antivirus non è sufficiente a proteggervi al 100%: è uno dei componenti delle nostre difese informatiche, ma non può certo essere l’unico.

Siamo giunti alla fine del nostro articolo che tratta della pericolosità degli allegati e-mail sospetti. Arrivati a questo punto la domanda che vogliamo porvi è: siete davvero sicuri di volervi assumere il rischio di un’infezione da virus informatici pur di non proteggere le vostre e-mail aziendali?

La scelta sta a voi.
Come sempre vogliamo mettervi di fronte ad ogni scenario: siete disposti a sacrificare l’intero patrimonio di dati della vostra azienda per un’email infetta?
I costi della prevenzione sono sempre irrisori rispetto ai costi di una vera e propria emergenza informatica.

Questo articolo ha lo scopo di fornirvi qualche pratico consiglio per evitare di incorrere in queste spiacevoli situazioni.
Vediamo un futuro ormai prossimo dove sempre meno aziende vengono colpite da questi attacchi, un futuro dove tutti sono consapevoli della potenza e dei rischi che qualsiasi tecnologia porta con sé, solo con la consapevolezza e la conoscenza potremo contrastare il cyber crimine.

Ed infine,

“Il più grande nemico della conoscenza non è l’ignoranza, è l’illusione della conoscenza”
STEPHEN HAWKING