truffa

Un hacker ha cercato di imbrogliarmi inviandomi una mail “trappola” e, dato che ci troviamo di fronte ad un tipo di minaccia particolarmente diffusa in questo periodo, mi sembra giusto parlarne per sensibilizzare i lettori di questa testata.

Parliamo di “Emotet”, e non si tratta del nome di un film di Cristopher Nolan, ma di un pericoloso malware creato in Russia nel 2014 che tra la fine del 2020 e l’inizio del 2021 sta vivendo un periodo di fortissima diffusione.

Il modus operandi degli hacker è quello di attaccare la vittima (solitamente una azienda), inviando una mail con annessa la richiesta di spiegazioni circa una fattura/pagamento il cui file di riferimento si trova in allegato.

In allegato però invece del solito pdf o file di word troveremo un file con al suo interno un malware pronto ad installarsi automaticamente sui vostri pc in seguito all’apertura.

Sostanzialmente si tratta sempre della solita tattica utilizzata dagli hacker i quali però, una volta eseguito con successo l’attacco ad un utente, inviano a cascata mail (e quindi attacchi) a tutti i contatti presenti nella rubrica della vittima, questa volta però scrivendo dall’indirizzo email della prima vittima e quindi aumentando la propria credibilità e possibilità di successo.

A differenza di altri virus o ransomware utilizzati negli ultimi anni, Emotet consente agli hacker di effettuare un periodo di “monitoraggio” della vittima, supportandoli nell’acquisizione di più dati possibili, puntando principalmente alle password per i servizi bancari digitali tipo home banking o simili. I danni possono essere irreparabili, soprattutto a livello aziendale.

Nel mio caso specifico è stato curioso osservare come la mail in questione, apparentemente spedita da un conosciuto hotel di Milano con il quale la nostra agenzia investigativa ha effettivamente avuto per molti anni un rapporto consolidato di lavoro, provenisse in realtà da un altro indirizzo, ovvero quello di una società brasiliana a me del tutto sconosciuta.

Effettuata l’analisi del file ed accertatomi subito della presenza del malware, ho effettuato alcuni approfondimenti ed ho scoperto che la vittima dell’attacco (del tutto inconsapevole fino al momento del mio contatto) si era effettivamente recata a Milano in vacanza qualche anno prima dove aveva soggiornato proprio presso quel famoso hotel.

Come siano poi giunti a me resta un mistero che per motivi di tempo non ho intenzione di approfondire, ma non posso fare altro che consigliare a tutti i lettori di diffidare sempre da mail (conosciute o meno) che richiedono di aprire documenti in allegato senza fornire troppe spiegazioni.

Gli hacker puntano sempre sull’effetto sorpresa e sulla paura, perciò nella mail faranno riferimento a pagamenti urgenti, multe o chiarimenti circa fatture affinché venga subito aperto il file in allegato. Perciò verificate sempre che il mittente sia conosciuto (condizione però che non può garantire l’attendibilità della mail) e che corrisponda al nome dell’intestatario della mail, che il tono, lo stile della scrittura sia quello utilizzato solitamente dal vostro interlocutore (spesso, per evitare di farsi scoprire, gli hacker scrivono poche frasi standard evitando di dilungarsi), ma soprattutto non aprite mai documenti in allegato contenenti file .zip o .exe . ed evitate di cliccare su link presenti all’interno della mail.

Infine, avere un buon antivirus è sempre utile, qualora un hacker dovesse colpirvi durante una giornata nella quale per mille motivi siete meno attenti del solito nella maggior parte dei casi sarà l’antivirus ad individuare il malware e ad avvertirvi in tempo.

Per domande e consigli di natura investigativa e/o di sicurezza, scrivetemi e vi risponderò direttamente su questa rubrica: d.castro@vigilargroup.com

L’emergenza Covid 19 è una situazione di difficoltà per privati e imprese, ma può essere  d’oro per l’industria del Cybercrime che sta incrementando in maniera esponenziale azioni di phishing e cyber-attacchi. Come segnalato dal Cert-Pa (Computer Emergency Response Team per la pubblica amministrazione – ora Csirt) nelle ultime settimane, gli attacchi informatici tramite mail di phishing hanno avuto inizio dai primi giorni di marzo e si sono protratti per i successivi due mesi, fino ad ora, nei quali si è avuto un picco di infezioni. Cybergon, business unit di Elmec Informatica dedicata alla cybersecurity, ha realizzato un’analisi tecnica delle mail di phishing più diffuse in questo periodo che veicolano soprattutto tre. Si tratta di malware in circolazione ormai da anni e che ciclicamente compaiono: Trickbot, Ursnif ed Emotet. vengono ritoccati per provare a renderli non rintracciabili da soluzioni anti-malware.

Gli oggetti delle mail in questione non sono particolarmente fantasiosi, ma fanno leva sulla paura e sulle preoccupazioni più diffuse in questo momento. Alcuni esempi di oggetto: ”Corona virus cure for china, italy” ”Cancel shipment due to corona virus – new shipping details” ”New Covid-19 prevention and treatment information”. Di seguito, alcuni esempi di mail malevole analizzati nel report che trascinano con sé allegati in grado di infettare il dispositivo con uno dei malware sopra citati.

Trickbot è un malware progettato per rubare i dati privati degli utenti, dirottando i browser web. In genere presenta un oggetto di questo tipo: ”Coronavirus: informazioni importanti su precauzioni” e include come allegato un documento word comunemente nominato ”f21368535400.doc”, ”Covid_19_test_form.doc”, ”guida_coronavirus.doc”. Una volta aperto, l’utente viene ingannato e spinto ad effettuare un download, che una volta partito infetta il dispositivo.

Emotet è un pericoloso malware il cui obiettivo è infiltrarsi nell’account bancario dell’utente e appropriarsi dei suoi soldi. Un oggetto tipico di una mail contenente questo tipo di attacco è ”Coronavirus countermeasures”. Il documento allegato è sempre un word e mostra un messaggio che tende ad ingannare l’utente con l’accettazione di un license agreement. Anche in questo caso, lo scopo è far partire un download necessario all’infezione della macchina vittima.

Ursnif è un virus che mira a registrare informazioni sensibili dell’utente, come sequenze di tasti, accessi/password salvati, attività di navigazione sul web, informazioni di sistema e così via.

Una tipica mail di phishing contenente un simile attacco prevede un oggetto di questo tipo: “Invio COPIA Ordine/Fattura: Procedure x Coronavirus”. L’allegato è questa volta un file Excel che, come gli altri, contiene una macro Vba, cioè una parte di codice necessario ad automatizzare azioni molto ripetitive e che ha l’obiettivo ultimo di infettare e diffondere il malware.

“In situazioni come queste, – dicono gli esperti di Cybergon – le precauzioni in qualità di utente che consigliamo di adottare sono quelle più semplici ma non per questo banali: controllare l’indirizzo del mittente per rendersi conto se sia o meno plausibile sfruttare tool online per verificarne la reputazione nel caso in cui non lo si conosca, ad esempio: Cisco Talos; Senderscore; MxToolbox”. Inoltre “non scaricare file in allegato o file a cui si viene condotti tramite link, se proprio necessario sfruttare piattaforme che effettuano gratuitamente l’analisi di file, come Virustotal; non cliccare link senza essersi prima accertati della bontà dell’e-mail; chiedere a qualche collega se ha già ricevuto una mail dello stesso tipo o informarsi su Internet circa campagna caratterizzate dallo stesso oggetto dell’e-mail ricevuta”, concludono.

Sei persone sono state denunciate per aver organizzato un commercio illegale di cani di razza. Coinvolto anche un medico veterinario.
A seguito delle segnalazioni di un residente, i carabinieri della Stazione “Parco” Cinque Terre hanno scoperto un commercio illegale di cani di razza. Denunciate sei persone, inclusa la querelante e un Medico Veterinario. Le accuse, a vario titolo, sono di frode nell’esercizio del commercio, favoreggiamento, falsità ideologica, minaccia, truffa, maltrattamento di animali, cessione di cani di razza senza certificato di genealogia.
La persona che ha fatto denuncia – riferisce la stampa locale- aveva subito minacce per la cessione di un Dobermann. I carabinieri sono arrivati a indagare persone a Reggio Calabria, Salerno, Modena, Cosenza, individuando il commercio con falsi certificati genealogici di cuccioli, separati dalle madri prima dei 60 giorni di vita.
I reati di truffa e frode nell’esercizio del commercio sono stati commessi “con la complicità di un veterinario, che ha dichiarato il falso nei certificati, per consentire l’iscrizione dei cani nel Libro delle Origini Italiane, così da poterli vendere come tali”- si legge sul notiziario di TeleNord.
Ad una delle persone denunciate è stata comminata una multa di 31 mila euro per aver ceduto cani di razza privi di certificato di genealogia.

Fonte:@nmvioggi del 13 settembre 2019

Un’indagine, diretta dal procuratore della Repubblica di Milano Francesco Greco e coordinata dal procuratore aggiunto Eugenio Fusco e dal sostituto procuratore Christian Barilli, ha portato a individuare e oscurare 222 siti web che proponevano assicurazioni online senza rispettare le prescrizioni del codice delle assicurazioni private. Il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza ha dato seguito a provvedimenti di perquisizione locale, informatica e conseguente sequestro nei confronti di persone ritenute responsabili di truffe online con le quali sono stati raggirati centinaia di cittadini, cui sono state vendute delle false polizze assicurative.

Gli utenti, convinti di sottoscrivere assicurazioni vantaggiose per il proprio veicolo o la propria casa o barca si sono in realtà ritrovati senza alcuna copertura. La truffa consisteva infatti nell’utilizzare indebitamente i loghi delle più note compagnie di assicurazione attive in Italia riportando anche l’indicazione di un numero RUI (Registro Unico degli Intermediari assicurativi) così da indurre a credere nella  veridicità di quanto reclamizzato online (mentre in realtà il RUI era contraffatto).

L’indagine, realizzata in collaborazione con l’IVASS (Istituto per la Vigilanza sulle Assicurazioni), ha permesso di identificare 74 persone fisiche per le quali è stato ipotizzato il reato di esercizio abusivo dell’attività di intermediazione assicurativa e truffa aggravata.

“Procedura anomala” per ottenere fondi europei. Questa l’accusa con la quale a maggio sono finite nel registro degli indagati 38 persone per le quali il sostituto procuratore di Brescia Ambrogio Cassiani ha chiesto il rinvio a giudizio. Il processo si terrà davanti al GUP di Brescia il prossimo 27 novembre. Al centro dell’inchiesta sono finiti il direttore del laboratorio di produzione primaria dell’istituto Zooprofilattico Sperimentale della Lombardia (Centro di referenza nazionale per la qualità del latte bovino) e 37 allevatori lombardi. Secondo l’accusa avrebbero “indebitamente” percepito il premio qualità del latte, “con l’aggravante di aver commesso il fatto per ottenere da Regione Lombardia i contributi finanziati dall’Unione Europea” e “in violazione dei doveri inerenti la qualità di dipendente di un ente sanitario di diritto pubblico”.
All’origine dell’inchiesta vi è una segnalazione degli ispettori regionali che, due anni fa, riscontrarono una serie di “anomalie nella refertazione” durante un sopralluogo all’Istituto. Si calcola che tra il 2015 e il 2016 siano stati erogati 180mila euro, ottenuti attraverso rapporti di prova, conferiti senza rispettare le procedure e riportanti  come “inizio” e“fine” analisi non la data reale, ma quella indicata dal caseificio conferente. I prelievi da controllare non provenivano da addetti esterni, come prevede la legge, ma dagli stessi allevatori. A seguito della conformità delle analisi “in autocontrollo” (e non da almeno due prelievi mensili casuali condotti da terzi) i produttori avrebbero chiesto e ottenuto “la conversione di questi risultati in analisi di routine, utili a conseguire i contributi, “attestando falsamente uno scopo diverso del campionamento e certificando il conferimento come avvenuto in modalità differente” da quella reale, “in palese contrasto con le normative”.