Le PEC (posta elettronica certificata) sono del tutto sicure o chiunque può mandare una PEC falsificando l'indirizzo del mittente? Analisi di un caso e consigli per tutelarsi

Le PEC non sono così sicure!

[Torna su]

Lo scrivente, quale consulente informatico, vuole condividere un'esperienza che pensa possa far innalzare la soglia di attenzione di tutti coloro che quotidianamente ricevono messaggi e allegati, sulla propria casella di posta PEC.

Da una perizia effettuata per un cliente (sotto allegata) è emerso infatti che anche le PEC non sono poi così sicure! In questo caso particolare il servizio PEC colpito è stato quello di Aruba.

Il cliente ha infatti ricevuto una PEC da un indirizzo che riconduceva addirittura ad un Ministero.

Rassicurato dalla "presunta" autorevolezza del mittente, decide di aprirla. Peccato che la PEC fosse completamente finta!

Per l'autenticazione digitale sono stati usati algoritmi SHAl usati nella comunità forense internazionale e riconosciuti dall'European Union Agency for Network and Information Security Enisa (...) Il messaggio PEC sospetto include una falsificazione del mittente, astutamente eseguita sfruttando i campi tecnici del contatto del mittente medesimo, i quali sono usati dalla webmail app solo nella visualizzazione del messaggio.

Per questa ragione il reale indirizzo del mittente viene automaticamente nascosto al destinatario che in questo caso è stato tratto in inganno da un indirizzo esistente del Ministero della Giustizia, ma falsificato come indirizzo del mittente.

L'operazione, pur non avendo alterato illegalmente il sistema (di ricezione della posta certificata) è il risultato di una efficace ed astuta abilità tecnica dello sconosciuto mittente, il quale ha manipolato i campi del contatto facendo figurare al destinatario, non il reale indirizzo PEC del mittente, ma quello di un ufficio del Ministero della Giustizia.

Attenzione all'indirizzo del mittente

[Torna su]
Il ricevente (...) è stato tratto inevitabilmente in inganno dall'indirizzo "PROT DAG@GIUSTIZIACERT.IT" usato come falsificazione del reale indirizzopostacertificata@telecompost.it. Tramite questo inganno (...) ha creduto inevitabilmente che la PEC fosse stata spedita dal Ministero della Giustizia anziché dallo sconosciuto postacertificata@telecompost.it. Facendo leva sulla fiducia e timore indotti da una PEC proveniente (falsamente) dal Ministero, lo sconosciuto autore posta-certificata@telecompost.it ha verosimilmente voluto creare un contesto tale da obbligare il "destinatario della pec" ad aprire il messaggio ed il suo allegato con il potenziale ed ulteriore pericolo che tale allegato potesse contenere un virus. In letteratura questa tecnica è nota come social Engineering.

(....) Grazie alla falsificazione, è quasi certo (o altamente probabile) che il mittente volesse attribuire originalità ed ufficialità al contenuto della PEC falsificata, inducendo di conseguenza il (...) ad intraprendere iniziative legali o altre azioni non necessarie e forse controproducenti, poiché basate su un falso.

Cosa fare per tutelarsi

[Torna su]
Professionisti e imprese, soggetti obbligati ad essere in possesso della pec, sono ovviamente i soggetti più a rischio perché costretti quotidianamente a controllare e ad aprire la casella PEC per leggere le comunicazioni e scaricare gli allegati.
Ecco qualche consiglio per non incappare in atteggiamenti truffaldini che potrebbero recare grossi danni a dati e dispositivi elettronici:
  • aggiornare con costanza i sistemi operativi dei dispositivi utilizzati;
  • evitare di memorizzare le password di accesso alla casella pec sui dispositivi;
  • impostare password sicure a cambiarle di frequente;
  • verificare l'indirizzo pec del mittente;
  • non scaricare file sospetti con estensioni eseguibili tipo .exe. o di Office, tipo doc, .xls...
  • diffidare di email che provengono da siti istituzionali, così come di quelli che chiedono di aggiornare dati personali.
Scarica pdf perizia pec

Foto: 123rf.com
In evidenza oggi: