![\"\"](\"http:\/\/www.digital-evidence.it\/wp-content\/uploads\/2017\/09\/Cattura.png\")
<\/a><\/p>\nDalle attivit\u00e0 di analisi emerge che la struttura di posta elettronica e la sicurezza
\nimplementata da poco in questa societ\u00e0 aveva gi\u00e0 notificato all\u2019utente che quella email era una
\npossibile frode.
\nCome si pu\u00f2 vedere dalla figura, nell\u2019email \u00e8 presente un messaggio di ALERT, inserito dallo
\nstrumento SPF di Microsoft.
\nL\u2019SPF previene gli attacchi di spoofing e phishing all\u2019interno dell\u2019Exchange Online Protection.
\nLa visualizzazione in figura \u00e8 tramite webmail. La stessa email scaricata dall\u2019utente sul proprio
\noutlook era finita giustamente nella posta indesiderata. Il sistema di sicurezza perimetrale
\ndell\u2019azienda aveva anche lui provveduto ad inserire un ulteriore dicitura **SPAM** .
\nFino a qui tutti i sistemi hanno funzionato correttamente.<\/p>\n
L\u2019utente era gi\u00e0 stato formato al riguardo e ha subito cancellato l\u2019email.
\nIn mancanza di un sistema efficace di posta elettronica e di un sistema di protezione
\nperimetrale, la stessa email sarebbe passata senza segnalazioni.
\nA quel punto l\u2019intera sicurezza si sarebbe basata sulla percezione e conoscenza dell\u2019utente.
\nQuesto accade molto spesso. Gli utenti dovrebbero prendere le decisioni sulla base di
\nsegnalazioni efficaci fatte dagli strumenti preposti al controllo.
\nAndando pi\u00f9 a fondo, vediamo come all\u2019interno della struttura della mail, i server utilizzati
\nper sferrare l\u2019attacco sono esterni a Microsoft e raggiungibili all\u2019indirizzo 192.185.143.5, gi\u00e0
\npresente in alcune black list autoritative proprio perch\u00e9 gi\u00e0 usati per tanti altri attacchi.
\nIl vero indirizzo email dell\u2019attaccante effettivamente \u00e8<\/p>\n
From: Paolo *********** Paolo.***********@****************** (Email falsificata)
\nReply-To: Paolo ************ myiphoneapps@italymail.com (email vera dell\u2019attaccante)<\/p>\n
L\u2019utente avendo cancellato subito l\u2019email ha fatto in modo che l\u2019attaccante non sappia ancora
\nse l\u2019email del destinatario fosse ancora funzionante oppure no.
\nL\u2019attaccante invia altra email,<\/p>\n
Da: Paride Marino \u2013 Nome Fasullo – [mailto:myiphoneapps@italymail.com] Titolo: Formazione Admin > \u00a0Segnalo che l’azienda non ha mai fatto formazione<\/strong> Qui siamo in presenza di un\u2019attaccante non Continuando con l\u2019analisi, vediamo come, all\u2019interno dello stesso messaggio sia presente uno X-PHP-Script: mariazouroudis.com\/wpcontent\/ (Questo avviene per via che molti siti internet low cost, non vengano mantenuti correttamente e L\u2019attaccante, per meglio portare al termine la truffa ha la necessit\u00e0 di monitorare le email L\u2019attaccante per avere accesso ad una email usa questi 4 metodi:<\/p>\n 1. Tramite phishing, inviando all\u2019azienda email che richiedono di cliccare qualche link per 2. Tramite sistemi di brute-force, cio\u00e8 con tentativi ripetuti di accesso alla casella di posta 3. Tramite infezione da virus trojan, inviato come allegato via email o tramite il clic su di un link 4. Questa opzione anche se remota la inserisco in quanto non \u00e8 da escludere. Esistono software Conclusioni<\/strong><\/p>\n Il tentativo di frode non \u00e8 partito dai sistemi aziendali della societ\u00e0 in questione ma bens\u00ec Cosa fare per prevenire<\/strong><\/p>\n 1. Attenzione al mittente delle mail che si ricevono Attacco di tipo Mail in the Middle In questi giorni sto trattando 2 casi di tentata frode con il falso IBAN e un terzo andato…<\/p>\n
\nInviato: luned\u00ec 24 luglio 2017 09:28
\nA: Michela *********- Nome Azienda <michela*********@******************>
\nOggetto: Re: R: Pagamento
\nSi prega di inviare questo pagamento come pagamento espresso
\nVi inoltro i documenti in seguito :
\nNome Azienda: Jayden Joseph Pemberton
\nIndirizzo: No: P.O. Box 68 130 New St Birmingham B2 4JU,United Kingdom
\nBanca beneficiaria: HSBC Bank
\nCodice Filiale: 401106
\nIBAN: GB38MIDL40110611489674 -> questa azienda lavora con l\u2019estero ma non con<\/strong>
\nl\u2019Inghilterra.<\/strong>
\nNumero di conto: 11489674
\nBIC \/ rapido: MIDLGB22
\nImporto da inviare: 35.847,00 EUR
\nRiferimento: #9804389UK<\/p>\n
\nMi prego di inviarmi una conferma di pagamento una volta che \u00e8 fatto.
\nDa notare l\u2019italiano un po\u2019 cos\u00ec\u2026\u2026non proprio corretto\u2026..
\nSaluti
\nPaolo *********
\nPaolo *********** che diventa Paride Marino.<\/p>\n
\nesperto. Negli altri casi trattati ho potuto vedere molta pi\u00f9 precisione da parte dell\u2019attaccante,
\nemail molto simili a quelle reali e con domini praticamente identici.
\nPrendendo ad esempio il mio dominio digital-evidence.it, il dominio fasullo poteva essere
\nstato digital-evidenc.it oppure dlgitial-evidence.it oppure digital-evidemce.it .
\n(NON FATE SCHERZI MI RACCOMANDO) \ud83d\ude00<\/p>\n
\nscript PHP che viene invocato da un sito malevolo esterno:<\/p>\n
\nthemes\/twentyfourteen\/genericons\/test\/nana.php for 83.xxx.xxx.xxx<\/p>\n
\ndove gli Hacker\u2019s nascondono i loro software malevoli e usano questi siti come vettori di attacco)
\nBisognerebbe fare un\u2019analisi dello script, lo far\u00f2 quanto prima. Molto probabilmente questo
\nlink all\u2019apertura dell\u2019email, avrebbe scaricato un Trojan, nel computer della vittima, usato poi
\nper acquisire le credenziali di accesso all\u2019email per poi verificarne il contenuto
\nperiodicamente.
\nIl sistema di protezione perimetrale comunque avrebbe bloccato l\u2019accesso al sito cos\u00ec da non
\npermettere il download del virus .<\/p>\n
\naziendali al fine di intrufolarsi, grazie ad email costruite ad hoc, nelle comunicazioni reali
\nquando si parla di pagamenti cos\u00ec da chiedere il cambio IBAN. Per effettuare questa richiesta,
\nun bravo attaccante si fa un\u2019attenta analisi dei soggetti in gioco, cio\u00e8 come scrivono, lo slang,
\necc.<\/p>\n
\nl\u2019inserimento delle credenziali della propria casella email utilizzando la scusa proprio di un\u2019
\nattacco al proprio account. E se l\u2019utente non conferma la propria identit\u00e0 l\u2019account verr\u00e0
\nbloccato.<\/p>\n
\n(spesso vengono usati dati estratti dai vari social)<\/p>\n
\nil quale provveder\u00e0 a scaricare il software malevolo e poi in automatico si istaller\u00e0 nel
\ncomputer della vittima.<\/p>\n
\nche scovano con estrema semplicit\u00e0 le password dei client email pi\u00f9 diffusi, un consulente che
\nabbia accesso a quel computer, potrebbe acquisire indebitamente le credenziali e sfruttarle
\ndopo qualche tempo proprio per provare a truffare quel suo cliente.<\/p>\n
\ndall\u2019esterno. L\u2019email, ovviamente camuffata per renderla reale, \u201cTecnica di ingegneria sociale\u201d,
\n\u00e8 stata prontamente smascherata dai sistemi adottati dall\u2019azienda. L\u2019email non \u00e8 stata
\ncancellata in quanto non conteneva virus e perch\u00e9 comunque poteva essere vera. L\u2019ultima
\nverifica sta poi all\u2019utente, ma deve essere supportato da un sistema che gli permette di
\nprendere una giusta decisione.
\nSi fa presente che questi attacchi si stanno diffondendo velocemente, come gli attacchi
\nRansomware o all\u2019 IoT. Le frodi dell\u2019IBAN sta mietendo vittime soprattutto la dove esistono
\nrapporti commerciali internazionali o in grandi aziende dove spesso i rapporti personali sono
\nbassi.
\nI sistemi di prevenzione fanno bene il loro lavoro, ma per prevenire questo tipo di frodi,
\nbisogna sempre stare attenti soprattutto a dettagli come:
\n——
\nSaluti<\/em>
\nPaolo ********<\/em>
\nDalla mia applicazione mobile<\/em>
\n——
\nQui vediamo come, alla fine dell\u2019email, possa essere strana la dicitura \u201cDalla mia applicazione
\nmobile\u201d
\nL\u2019attaccante qui doveva scrivere ad esempio \u201c From my Iphone o From my Android\u201d per
\nrenderlo pi\u00f9 credibile.
\nStare attenti ad alcune lettere accentate in modo errato. Se l\u2019attaccante dovesse essere russo,
\nucraino ecc, a volte durante la conversione dei caratteri, qualcosa potrebbe non
\nandare a buon fine.<\/p>\n
\n2. Attenzione a quando si risponde ad una email, controllare sempre se l\u2019indirizzo \u00e8 corretto
\n3. Se qualcuno vi chiede di cambiare IBAN per il pagamento, controllare sempre tramite una
\ntelefonata diretta o una skype conference.
\n4. Installare un buon antivirus e antimalware e avere sistemi anti intrusioni idonei.
\n5. Evitare di utilizzare, a fini aziendali, indirizzi email gratuiti basati su webmail e non,
\npurtroppo avv.nome.cognome@gmail .com \u00e8 semplice da modificare: prendiamo ad esempio
\navv.rossanorogani@gmail.com , anche se non sono avvocato, qualcuno potrebbe prendersi
\navv.rossanoroganl@gmail.com
\n6. Valutare la necessit\u00e0 di pubblicare organigramma, nomi dei dipendenti, incarichi, gerarchie
\n7. Non pubblicare dati personali su web e social network
\n8. Verificare periodicamente la presenza di eventuali regole di inoltro\/forward impostate sul
\nproprio account di posta elettronica.
\n9. Prestare attenzione a qualunque cambio repentino soprattutto quando la controparte
\nrichiede di agire in tempi brevi, in segretezza, su canali paralleli;
\n10. Attivare, la dove possibile l\u2019autenticazione a doppio fattore
\n11. Controllare nelle apposite sezione dei vostri account di posta, gli ultimi accessi.<\/p>\n","protected":false},"excerpt":{"rendered":"