Per alleviare lo stress finanziario causato dalla pandemia COVID-19, i governi di tutto il mondo hanno messo in atto misure volte a supportare finanziariamente aziende e singoli, per stimolare l’economia e a compensare coloro il cui reddito è stato in qualche modo ridotto o tagliato a causa della pandemia.
Purtroppo, altrettanto rapidamente si sono mossi i malintenzionati. Mentre milioni di persone si registrano o cercano informazioni sulle misure di sostegno offerte dal governo, i cyber criminali sono in agguato, pronti a frodarle nel momento del bisogno.
A oggi, Proofpoint ha registrato oltre 300 campagne a tema COVID-19. Con la durata della pandemia, che resta un’area di grande preoccupazione a livello mondiale, il volume complessivo delle esche utilizzate può solo continuare a crescere. I metodi di attacco sono i più svariati tra cui le campagne di email compromise per le aziende (BEC), il phishing delle credenziali, il malware e lo spam. E molti stanno avendo successo.
In uno degli attacchi più sofisticati visti fino a oggi, in Germania, i truffatori si sono appropriati del sito web del Ministero dell’Economia della Renania Settentrionale-Vestfalia, utilizzandolo per raccogliere informazioni personali e fare richieste fraudolente di supporto da parte del governo. Si stima che questo attacco da solo sia costato al governo tedesco decine di milioni di euro. Quando la truffa è stata scoperta, gli aiuti hanno dovuto essere temporaneamente interrotti, causando problemi alle persone in difficoltà.
I truffatori utilizzano regolarmente il metodo dello spoofing di dominio per spacciarsi da enti governativi o istituzioni note, come l’Organizzazione Mondiale della Sanità e approfittano delle debolezze dei protocolli di posta elettronica per inviare messaggi da un indirizzo apparentemente legittimo, rendendo quasi impossibile per un utente distinguere un mittente fasullo da uno reale.
E in Italia? Proofpoint ha condotto un’analisi per verificare la presenza e il grado di implementazione del protocollo Dmarc (Domain-based Message Authentication, Reporting & Conformance) da parte del sito dedicato al Fondo di Garanzia, del Ministero dello Sviluppo Economico e delle cinque banche che lo gestiscono sotto forma di Raggruppamento Temporaneo di Impresa. Da questi siti transitano infatti le richieste di finanziamento delle PMI e dei professionisti, in particolar modo in questo momento di emergenza Covid. Insieme a questi siti, è stato analizzato anche il sito web dell’Inps, che segue altre categorie di lavoratori, autonomi e dipendenti.
Il Dmarc è l’equivalente di un controllo avanzato dei documenti nel mondo della email security. Si tratta di un protocollo di autenticazione che nella sostanza verifica che i messaggi che sembrano arrivare da un determinato dominio provengano davvero da quel dominio, e non invece da cybercriminali sotto mentite spoglie.
L’analisi condotta da Proofpoint ha messo in luce come solo 2 dei 7 siti presi in esame abbia di fatto adottato il protocollo Dmarc. Anche i due che l’hanno adottato però non utilizzano il livello ideale di protezione, quello che permette di rifiutare automaticamente i messaggi sospetti. Questo significa che per tutti i siti analizzati gli utenti restano a potenziale rischio di frode via mail.
I criminali informatici approfitteranno sempre di eventi importanti o di crisi per perpetrare attacchi mirati utilizzando tecniche di ingegneria sociale come il furto di identità e i siti delle istituzioni e quelli di servizio pubblico non fanno eccezione, anzi, stanno diventando un bersaglio primario per gli attacchi.
Come accedere ai finanziamenti ed evitare le truffe
Le truffe legate a COVID-19 possono essere nuove, ma i metodi non lo sono. Gli utenti devono stare attenti e adottare misure di sicurezza di base:
•Rivolgersi solo a fonti ufficiali. Dove possibile, raggiungere i siti web digitando attentamente l’indirizzo nel browser.
•Diffidate di qualsiasi comunicazione che vi chieda di fornire informazioni personali o dettagli finanziari. Chiedete consiglio a una fonte affidabile se non siete sicuri.
•Ignorate tutte le sollecitazioni inaspettate tramite e-mail, telefono, SMS o social network. Gli enti governativi non chiederanno informazioni altamente sensibili attraverso questi canali.
•Evitate di cliccare su link sconosciuti, anche da mittenti che appaiono ufficiali. Se le informazioni contenute in un’e-mail appaiono legittime, confermatele con una fonte ufficiale.
•Tenete d’occhio gli errori ortografici e grammaticali. Se un’e-mail o una lettera dall’aspetto ufficiale include errori di ortografia, è improbabile che sia legittima.
•La pressione del tempo è un campanello d’allarme. Le banche e gli enti governativi non vi faranno mai fretta.
•Limitate i potenziali danni causati dal furto di credenziali utilizzando password uniche per i singoli servizi. Utilizzate un gestore di password per semplificare questo processo.
Come sempre, la consapevolezza è la chiave per difendersi dalle truffe informatiche. Più si capiscono i metodi e le motivazioni degli attacchi, meno probabilità ci sono di diventare vittime.