Le PMI svizzere nel mirino di un trojan bancario

02.02.2015 - Nei giorni scorsi, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI ha ricevuto un numero crescente di segnalazioni da parte di PMI svizzere che comunicavano di aver ricevuto per posta elettronica messaggi spam sospetti. I messaggi segnalati provengono in tutta evidenza da sedicenti soci d’affari e tentano di infettare i destinatari delle mail con un trojan bancario. In un caso di cronaca di poco tempo fa, riguardante un’azienda del Canton Friburgo, i pirati informatici sono riusciti con lo stesso trojan a sottrarre un importo a sette cifre.

In molti casi, il messaggio si presenta sotto le false spoglie di un fax inviato per posta elettronica. Di solito reca in oggetto la seguente dicitura «Fax message has been receive» e contiene un allegato denominato «FAX_XXXXXXXXXXXX.zip» (le X stanno per una certa sequenza di cifre). Questi messaggi non vengono inviati come al solito attraverso reti botnet, ma provengono dal conto del mittente effettivo, che è stato compromesso per inviare questo tipo di spam. A tal fine, il software nocivo (malware) sottrae l'indirizzario dei contatti della vittima e in seguito invia messaggi ai destinatari figuranti nell'indirizzario. Dato che i mittenti in questione non hanno falsificato i messaggi e in molti casi sono realmente i soci d'affari dei destinatari, il rischio è grande che questi ultimi aprano davvero l'allegato e si infettino con il malware.

Il messaggio spam può presentarsi ad esempio così: 

 

Oggetto: Fax message has been receive

Da: X

Data: 22.01.2015 12:52

A: Undisclosed recipients;

Allegato: FAX_947188278124.zip (FAX_947188278124.scr)

I have sent you a fax message. Please check document attached.

Il messaggio spam ha una struttura relativamente semplice e, dato ad esempio che non è firmato e contiene errori d'ortografia, può essere facilmente identificato. Ciò nonostante, apparentemente nei giorni scorsi numerosi destinatari sono stati indotti ad aprire il file allegato e così sono stati infettati dal malware.

Il malware in questione contiene un programma di tipo dropper, denominato Upatre. Un dropper è un programma che viene creato per poi scaricare altro malware da Internet. Nei casi di cui siamo a conoscenza, il dropper ha scaricato da Internet un trojan bancario denominato Dyre.

Negli ultimi mesi abbiamo avuto modo di constatare che i pirati informatici prendono a bersaglio con crescente frequenza anche le PMI. Questa tendenza è favorita dal fatto che molte PMI non sono abbastanza protette contro i rischi provenienti dal cyberspazio. MELANI è al corrente di molti casi in cui sui computer della ditta era installato soltanto un programma antivirus obsoleto, o addirittura niente del tutto.

Il problema non dipende necessariamente dalle PMI, ma spesso anche dagli informatici incaricati dalla ditta, che talvolta trascurano gravemente gli aspetti legati alla sicurezza IT. Esso è ulteriormente aggravato dal fatto che le responsabilità tra cliente e operatore non sono definite con sufficiente chiarezza.

Oltre alle consuete norme di comportamento, MELANI formula le seguenti raccomandazioni:

  • effettuate regolarmente un backup dei vostri dati (quotidianamente) e conservate il backup in un luogo sicuro (offline). Verificate regolarmente il funzionamento del vostro backup;
  • assicuratevi che sul vostro computer sia installato un programma antivirus aggiornato;
  • scansionate regolarmente il vostro computer con un programma antivirus aggiornato (scansione completa del sistema);
  • siate prudenti riguardo ai messaggi di posta elettronica, anche se provengono da mittenti attendibili. Nel dubbio chiamate per telefono il mittente del messaggio per chiedere conferma;
  • se accedendo al sistema e-banking, dopo aver effettuato il login (password, autenticazione tramite mTAN/token), vi trovate di fronte a uno schermo di blocco (ad es. vi appare sullo schermo una scritta del tipo «Il sistema è provvisoriamente disattivato»), vi raccomandiamo di contattare la vostra banca;
  • se durante il processo di Login dovessero accadere eventi inaspettati (per esempio apparizione di un Timer etc.) contattate la vostra banca.

Se avete già ricevuto messaggi di questo tipo e avete aperto l'allegato, vi consigliamo di verificare il vostro computer con un programma di scansione antivirus o un'applicazione per l'eliminazione di programmi nocivi (malware removal tool).  Trovate una guida per l'esecuzione di questa scansione sotto il seguente link:

MELANI mette a disposizione un promemoria inteso ad aiutare le PMI Svizzere a proteggere meglio i propri sistemi informatici:

Inoltre, sotto il sito della Confederazione consacrato alle PMI troverete un Programma in 10 punti per una protezione di base efficace nell'IT:

 

 

Ultima modifica 02.02.2015

Inizio pagina

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/le-pmi-svizzere-nel-mirino-di-un-trojan-bancario.html