Sempre più spesso i cyber criminali usano gli allegati email per iniettare malware nei sistemi dei loro obiettivi e nelle campagne massive. Il malware mascherato da allegato email rappresenta una tecnica banale di attacco, ma molto efficace, sopratutto se accompagnato da tecniche di ingegneria sociale: costruire una email come fosse proveniente da una fonte importante (la tua banca, dal fornitore di energia elettrica ecc..), contenente un allegato mascherato da fattura/foglio di trasporto può facilmente indurre un utente ad aprire mail e allegato inconsapevolmente. Oltre a ciò, gli autori di malware stanno continuamente sperimentando ed adottando nuove tecniche per nascondere i propri malware negli allegati email. Lo scopo è, ovviamente, quello di rendere la mail compromessa più "normale" e meno sospetta possibile. 

Ne abbiamo parlato qualche tempo fa (per leggere tutto l'articolo, vedi qui): il malware SmokeLoader veniva diffuso attraverso campagne di email di spam massive tramite email con oggetti come "“Website Job Application”, contenenti un archivio protetto da password. La password veniva consegnata nella email stessa. Estratto l'archivio, se ne ricavava un file .doc contenente una macro dannosa: abilitata la stessa, il malware veniva installato sul computer senza ulteriore interazione ne consapevolezza da parte dell'utente. 

Un esempio tra mille, per ribadire che gli amministratori di rete dovrebbero preoccuparsi molto del potenziale di compromissione di una singola email con allegato. Consigliamo quindi alcuni passi utili da compiere per ridurre al minimo questo pericolo:

Ogni azienda dovrebbe avere una policy di utilizzo appropriata, alla quale i dipendenti dovrebbero essere formati ed educati. Questa policy dovrebbe regolare tutti gli aspetti della cyber sicurezza, inclusa la navigazione online e il download di file e allegati. Questa policy deve definire chiaramente il tipo di azioni che un utente deve compiere quando si trova faccia a faccia con un allegato sospetto. 

Le soluzioni di backup rivestono un ruolo sempre più importante per le aziende, piccole o grandi che siano. Nel peggior scenario un utente può, deliberatamente o accidentalmente, scaricare un allegato compromesso e installare malware sulla rete: disporre di una soluzione di backup testata e sicura può ridurre moltissimo il danno. Tutto ciò, tuttavia, richiede prima una precisa pianificazione, quindi la conseguente implementazione. Le organizzazioni dovrebbero quindi stabilire solide policy di backup e garantire che i dati siano backuppati a cadenza regolare così da poter essere recuperati in qualsiasi momento in caso di attacco malware.

E' estremamente importante per gli amministratori di rete assicurarsi che i propri sistemi ricevano regolarmente update e patch. Questa accortezza consente di mantenere il sistema al sicuro da infezioni malware, sopratutto quelle che sfruttano le vulnerabilità dei software o dei sistemi operativi per infettare il sistema. 

Una delle verità, condivisa dall'intera comunità IT, è la convinzione che l'anello debole della catena della cyber sicurezza è l'utente. In questo caso, gli amministratori di rete devono assicurarsi che i dipendenti siano formati nella maniera migliore possibile nel difficile compito di saper individuare allegati sospetti. Questi training dovrebbero avvenire a cadenza regolare così da rendere gli impiegati in grado di individuare allegati sospetti e eventuali segnali di infezioni, quindi sapere cosa fare/chi avvisare/quale protocollo seguire in caso di pericolo. 

Questo è probabilmente il passo più importante tra quelli indicati: un passo necessario per i proprietari  delle aziende e per gli amministratori di rete. Una soluzione anti-malware davvero efficace dovrebbe avere una funzione di Protezione Email sia a livello di rete che dei singoli endpoint. La soluzione Unified Threat Management (UTM) di Seqrite offre una prima linea di difesa contro questo tipo di minacce. La Protezione Email a livello di Gateway scansiona il traffico in entrata e in uscita verificando la genuinità o meno degli file allegati/inviati ricevuti nelle email. 

A livello degli endpoint, Seqrite Endpoint Security (EPS) offre una piattaforma semplice, ma globale, per la gestione di tutti gli endpoint. La Protezione Email consente agli amministratori di rete di applicare regole di protezione a tutte le email in ingresso, per aiutare a bloccare le email dannose in ingresso.