Aumentano le campagne malware che sfruttano il tema delle tasse, tra ingiunzioni di pagamento e richieste di rimborso. Lo rilevano i dati Proofpoint che mettono in evidenza come i cybercriminali seguano la “stagione” per lanciare le loro minacce.
In questi primi mesi del 2021, sono già state identificate oltre 30 campagne che hanno sfruttato esche e-mail associate alle tasse, all’assistenza fiscale, ai rimborsi e agli enti governativi mirate a colpire grandi quantità di persone. Sono almeno quattro i gruppi tracciati da Proofpoint che si sono focalizzati su e-mail a tema fiscale. Ciò che però rende “unico” il 2021 è la crisi pandemica, sanitaria e finanziaria senza precedenti che i cybercriminali stanno combinando alle esche fiscali tradizionali.
I tentativi di phishing per il furto di credenziali – utilizzati per colpire gli individui o per l’acquisizione di account di posta elettronica – hanno rappresentato il 40% delle campagne e-mail a tema fiscale, seguiti dai trojan di accesso remoto (Rat) al 17%. Tuttavia, nonostante i RAT siano presenti in meno campagne, sono stati molto più diffusi nel volume totale dei messaggi. La metà delle e-mail identificate a tema fiscale contenenti malware sono state utilizzate per distribuire il Rat Remcos, un malware di base con ampie capacità di furto di dati e sorveglianza. Altre campagne di distribuzione simili includevano Dridex, TrickBot e ZLoader.
Nel corso del 2020, i cybercriminali hanno iniziato a sfruttare sempre più le macro di Excel 4.0 (XL4) per distribuire malware, e questa tendenza è continuata nel 2021. Proofpoint ha osservato un aumento del 500% delle campagne di minaccia via e-mail a tema fiscale con macro XL4 pericolose nei primi tre mesi del 2021 e ritiene che ciò sia dovuto alla limitata copertura di rilevamento nei moderni sistemi di sicurezza. (Anche se Microsoft supporta ancora le macro XL4, l’azienda suggerisce di migrare all’ultima versione di Microsoft Visual Basic Application).
Il periodo tradizionalmente dedicato al pagamento delle imposte è un momento propizio per condurre campagne di attacco basate su e-mail per il furto di informazioni sensibili a scopi finanziari.
Inps, il caso delle e-mail truffa
Nei giorni scorsi l’Inps ha avvisato tutti i suoi utenti di un tentativo di truffa tramite email di phishing che, sfruttando apparenti comunicazioni da parte dell’Istituto,
invitano a scaricare e compilare un modulo allegato per accedere a benefici di
salvaguardia per mitigare i disagi economici causati dalla pandemia.
Nel caso specifico, viene utilizzato un indirizzo fittizio di posta certificata, simile a
quelli Inps, e la mail è firmata con nome e cognome di un funzionario dell’Istituto
realmente esistente.
Inps ha invitato gli utenti a “diffidare di comunicazioni che propongano di
scaricare eventuali allegati, in quanto finalizzate a sottrarre fraudolentemente
dati anagrafici oppure relativi a carte di credito e/o conti bancari o postali.
Si ricorda, infatti, che le informazioni sulle prestazioni Inps sono consultabili
esclusivamente accedendo direttamente dal portale www.inps.it e che l’Inps, per
motivi di sicurezza, non invia mai, in nessun caso, mail contenenti moduli da
scaricare o link cliccabili”.
Come difendersi dalle “e-mail esca”
- Formare gli utenti a individuare e segnalare le e-mail pericolose. La formazione regolare e gli attacchi simulati possono fermare molte aggressioni e aiutare a identificare le persone particolarmente vulnerabili. Le migliori simulazioni imitano le tecniche di attacco del mondo reale.
- Allo stesso tempo, dare per scontato che gli utenti alla fine cliccheranno su alcune minacce. Gli attaccanti troveranno sempre nuovi modi per sfruttare la natura umana. È necessaria una soluzione che individui e blocchi le minacce e-mail in entrata rivolte ai dipendenti prima che raggiungano la casella di posta, in grado di gestire l’intero spettro delle minacce e-mail, non solo quelle basate sul malware, tra cui la compromissione della posta elettronica aziendale (BEC) e altre forme di frode via e-mail, più difficili da rilevare con gli strumenti di sicurezza convenzionali. La soluzione ideale dovrebbe analizzare sia le e-mail esterne che quelle interne: gli attaccanti potrebbero usare account compromessi per ingannare gli utenti all’interno della stessa organizzazione. L’isolamento del web può essere una salvaguardia critica per gli URL sconosciuti e rischiosi.
- Gestire l’accesso ai dati sensibili e le minacce interne. Un broker per la sicurezza dell’accesso al cloud può aiutare a proteggere gli account cloud e concedere i giusti livelli di accesso agli utenti e alle app di terze parti, in base ai fattori di rischio rilevanti. Le piattaforme di gestione del rischio insider possono aiutare a proteggere dalle minacce interne, compresi gli utenti compromessi da attacchi esterni.
- Collaborare con un fornitore di informazioni sulle minacce. Gli attacchi mirati e focalizzati richiedono informazioni avanzate sulle minacce. È consigliabile adottare una soluzione che combini tecniche statiche e dinamiche su scala per rilevare nuovi strumenti di attacco, tattiche e obiettivi, e poi imparare da essi.