L’oggetto dell’email è “Coronavirus: Informazioni importanti su precauzioni“, contiene un allegato di Word (doc) e un testo generico che invita alla lettura del documento. In realtà non c’è alcuna informazione utile a prendere precauzioni contro il virus Covid-19, è solamente un tentativo di phishing, ossia un tentativo di truffa informatica basata sull’ingegneria sociale.
La comunicazione è curata, non fatta attraverso una traduzione automatica, come capita spesso in questi casi. Il messaggio è firmato da tale Dr. Penelope Marchetti (Organizzazione Mondiale della Sanità). Questi accorgimenti rendono l’inganno di non immediata individuazione. Per fortuna, è sufficiente una rapida ricerca su Google per avere la certezza che non esista alcun professionista del settore medico-sanitario con quel nome presso l’O.M.S..
Da parte sua, proprio l’agenzia dell’ONU, ha fornito sul suo sito informazioni utili per difendersi e cercare di arginare il problema. Si tratta di raccomandazioni di buonsenso e un minimo “tecniche”. Email di dubbia provenienza o semplicemente “sospette”, andrebbero esaminate con cura prima di fare qualsiasi azione che porti l’utente fuori dal contesto dello specifico messaggio ricevuto.
Per prima cosa, occorre controllare bene l’indirizzo del mittente. In secondo luogo, bisogna chiedersi se il dominio di provenienza è realmente esistente o se è solo un dominio che “suona corretto”. Anche la data e l’orario d’invio possono essere indice di probabile contraffazione. La maggior parte dei software che permette di inviare “fake mail”, non è in grado di ingannare gli orologi interni dei server a meno di riportare orari improbabili come le 00:00 o le 24:00 esatte. Nel caso dell’OMS, il dominio specifico è “@who.int”. Se l’email del mittente non riporta questo dominio, il messagio non proviene dall’OMS.
A volte i link indicati sono effettivamente quelli giusti o quelli che chiunque si aspetterebbe di trovare, ma sono finti, sono indirizzi “di facciata”. Cliccando su le URL proposte, se non si osserva cosa accade nella barra dell’indirizzo del browser, si potrebbe venire dirottati su altri siti che nulla hanno a che vedere con quelli utilizzati come paravento. Se si ha il dubbio che si tratti di un redirect fraudolento, è sufficiente appuntarsi l’indirizzo e riscriverlo a mano nel browser. Questa è la procedura più sicura e a rischio zero.
Una procedura che richieda l’inserimento di informazioni riservate o comunque dati personali sensibili via email è quantomeno sospetta. I criminali informatici utilizzano le emergenze per indurre le persone ad agire d’impulso e senza riflettere. La psicosi potrebbe portare a sottovalutare determinati aspetti che, a mente fredda, farebbero desistere chiunque dal seguire un percorso così poco ortodosso per l’accertamento dello stato di salute e d’informazione della popolazione.
In qualunque caso, anche se si fosse caduti nella trappola, è opportuno non farsi prendere dal panico, ma procedere prima possibile al cambio di tutte credenziali collegate ai dati forniti.
Scendendo nei dettagli tecnici, l’infezione è un malware nascosto in un archivio JavaScript criptato (JSE), della famiglia “Ostap“, ovvero di quei virus che riescono ad agire come programmi di scaricamento file (downloader). Dopo aver raccolto i dati del computer della vittima, il virus termina il suo lavoro con l’invio dei file verso server a cui non corrisponde un nome a dominio e che risultato difficilmente rintracciabili. Molto probabilmente, l’azione combinata del phishing, insieme a quella del malware, non fa altro che alimentare la più classica delle banche dati con nomi, cognomi, indirizzi IP e altre informazioni degli ignari navigatori. Questi prelievi, apparentemente inoffensivi, hanno un valore nel dark web, la parte non indicizzata dai motori di ricerca classici, ma poi vengono sfruttati per truffe mirate e altre attività illecite.