Da qualche tempo si sta verificando un picco di spam contenente virus molto pericolosi, in grado di criptare il contenuto del disco dei PC e dei server, con conseguente richiesta di riscatto per ottenere la chiave in grado di rendere nuovamente disponibili i dati.
I sistemi automatici di protezione, come gli antivirus e gli antispam, filtrano il grosso dei potenziali rischi ma non riescono mai a raggiungere il 100 % di successo, specialmente nel caso di minacce molto recenti che potrebbero non essere ancora riconosciute.
Ne consegue che qualsiasi allegato ricevuto in posta elettronica DEVE essere considerato potenzialmente pericoloso, e valutato anche con l’apporto dell’intelligenza umana, dall’utente o, in casi dubbi, da un tecnico
Le ragioni sono molteplici:
1 potrebbe essere un virus o un codice malevolo non ancora riconosciuto e di conseguenza fatto filtrare erroneamente dall’antispam e dall’antivirus
2 potrebbe essere un virus che ha infettato il computer di un vostro corrispondente che è stato aggiunto alla white list dell’antispam (su vostra richiesta o di un collega)
3 potrebbe essere un virus o un codice malevolo che vi è stato inoltrato da un ignaro collega attraverso la posta interna
4 potrebbe essere un codice realizzato ad hoc e quindi tecnicamente non un vero e proprio virus, non riconoscibile come minaccia dai sistemi antispam / antivirus.
Gli allegati potenzialmente pericolosi si riconoscono dalle icone o meglio dalle estensioni cioè la parte del nome che segue il punto (es: in DOCUMENTO.DOC l’estensione è DOC, in FOGLIO.XLS è XLS
Le estensioni pericolose più diffuse sono
1 Documenti Office (Word Excel, Powerpoint) . DOC, .DOCX, .DOT-XLS, PPT
2 Programmi eseguibili .EXE, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .DLL, .MSC, .MSI, .HTA, .MSP, JS, .PS1, .PS2, REG, .LNK, .INF
3 macro di office .DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM
4 File di archivio .ZIP, .RAR perché ingannano più facilmente l’antispam e possono contenere gli altri tipi di file pericolosi
Non c’è ragione al mondo per aprire un allegato che abbia una estensione che non conosciamo (quindi che NON SIA DOC, DOCX, XLS, PDF, ZIP)
Se si riceve un allegato con una estensione diversa da queste, il livello di attenzione si deve immediatamente alzare.
Non c’è ragione al mondo per aprire un allegato di tipo eseguibile o macro (quindi che SIA EXE, CMD, BAT, SCR, JAR, WS, VBS, DOTM, XLAM, ecc.)
Un altro modo di ingannare i sistemi e gli utenti è l’uso della doppia estensione.
Se L’utente riceve un allegato che si chiama APRIMI.PDF.exe sarà portato a credere di avere a che fare con un innocuo documento PDF, in realtà è l’estensione presente DOPO il punto situato più a destra che definisce il tipo di file. Si tratta quindi di un eseguibile che con ogni probabilità sarà stato nominato in quel modo con scopi fraudolenti.
Ultimamente sta aumentando il numero di casi in cui il virus non viene allegato al messaggio, ma in quest’ultimo viene incluso un collegamento ad un sito esterno.
Se l’utente clicca sul collegamento, avvia il download del virus.
La provenienza del messaggio, in sé, non costituisce una garanzia. Tipicamente questi messaggi fraudolenti usano tecniche di mascheramento (spoofing) e di ingegneria sociale per apparire “normali”, nascondere le caratteristiche che potrebbero mettere in allarme e indurre gli utenti ad aprirli.
E’ più che mai necessaria l’attenzione e la collaborazione di tutti per innalzare il livello di consapevolezza dei rischi e dei limiti dei sistemi automatici di protezione.
