L’obbligo di fatturazione elettronica anche per le transazioni fra privati, entrato in vigore a partire dal 1° gennaio 2019, ha esponenzialmente aumentato il traffico di posta elettronica certificata in Italia.

Estremi per la fatturazione.

L’indirizzo PEC è infatti un valido estremo per la fatturazione elettronica, in grado di affiancare o sostituire l’apposito codice identificativo. L’invio di fatture tramite PEC è quindi un metodo semplice ed efficace per adempiere ai nuovi obblighi.

Comunicazioni sicure?

Giova tuttavia ricordare che la posta elettronica certificata differisce da quella normale principalmente per quanto riguarda la tracciabilità e la validità legale delle comunicazioni inviate. Di conseguenza la PEC non è più sicura della posta elettronica ordinaria, dato che non gode di nessuna miglioria tecnica da questo punto di vista.

Un’occasione… per gli hacker.

La tracciabilità e la validità legale tendono tuttavia a creare nell’utente finale la convinzione psicologica che la PEC sia assolutamente sicura, abbassando la guardia nei confronti delle mail così ricevute (e dei relativi allegati). Convinzione peraltro fino ad oggi tendenzialmente corretta, per il semplice fatto che lo scarso uso della PEC rendeva “poco conveniente” per dei pirati informatici hackerare un account certificato. Fino ad oggi.

Il precedente di Crypt0L0cker.

Un’importante eccezione a questa tendenza si è tuttavia verificata nel marzo 2017, quando il ransomware Crypt0L0cker si è diffuso tramite PEC di molti enti di pubblica amministrazione italiani. Coloro che hanno incautamente aperto le mail, rassicurati dalla loro natura “certificata”, si sono trovati i propri dati presi in ostaggio, con tanto di richiesta di riscatto. Il ransomware rendeva infatti inservibili tutti i dati del dispositivo infettato, a meno di pagare un  riscatto in bitcoin per ottenere la chiave di decrittazione… O di disporre di un adeguato backup precedentemente predisposto, ovviamente.

Le nuove minacce.

Tornando al presente, l’aumento degli attacchi via PEC non è solo una previsione: si è già verificato. La società di cyber security Yoroi ha infatti isolato un attacco che sfrutta allegati Excel in mail PEC, solitamente intitolate in maniera generica ma credibile: “Avviso di pagamento”, “Fattura corretta”, “Avviso di scadenza” o simili. Il file .xls, di per sé innocuo, chiede l’attivazione di una macro per la visualizzazione corretta: autorizzando il passaggio in realtà l’ignara vittima finisce per scaricare una variante del malware Ursnif.

Come difendersi?

Come difendersi, dunque? Innanzi tutto serve entrare nell’ottica che la PEC non è più sicura della normale posta elettronica, e che anche il più autorevole degli interlocutori può essere hackerato. Di conseguenza, basta attuare per la posta certificata gli stessi accorgimenti che normalmente vengono destinati alle normali mail. Al riguardo, rimandiamo alla nostra Guida veloce alla Mail Security  per alcuni consigli semplici e immediati.

Ti è piaciuto questo articolo? Condividilo con i tuoi amici!