Quando è sicuro aprire gli allegati e-mail?

Quando è sicuro aprire gli allegati e-mail?

La possibilità di allegare file alle e-mail è utile, ma comporta anche dei rischi. Gli allegati e-mail provenienti da malintenzionati potrebbero contenere malware, che può causare un attacco informatico o una violazione dei dati. Non esiste un metodo infallibile per sapere se un allegato di posta elettronica è sicuro da aprire, ma gli allegati inaspettati provenienti da sconosciuti hanno maggiori probabilità di essere pericolosi.

Perché gli allegati e-mail sono pericolosi?

Un allegato e-mail è un file inviato con un messaggio di posta elettronica, come un regalo accompagnato da un biglietto di auguri. Quasi tutti i tipi di file possono essere allegati a un'e-mail; solitamente l'unica limitazione riguarda la dimensione del file o il numero di file che un client di posta elettronica è disposto ad accettare. Ma come qualsiasi file inviato tramite una rete, gli allegati e-mail possono talvolta contenere contenuti pericolosi o dannosi che possono infettare un dispositivo con malware.

Spesso i malintenzionati provano a distribuire il malware allegandolo alle e-mail. A volte allegano il malware come file eseguibile (EXE) e cercano di indurre il destinatario dell'e-mail a scaricare e aprire il file, che esegue il malware. Altre volte potrebbero nascondere uno script dannoso in un file apparentemente innocuo, come un documento Microsoft Word (DOC, DOCX) o un file di archivio (ZIP, RAR, ecc.). Una volta eseguito, lo script scarica e installa malware oppure esegue altre azioni dannose. Infine, gli autori di attacchi potrebbero mascherare malware o script all'interno di tipi di file che difficilmente potrebbero contenerli, come file di immagini o video.

Immagina un allegato e-mail come un regalo incartato e l'e-mail a cui è allegato come un biglietto di auguri. Chi riceve il regalo non può sapere cosa contiene finché non lo apre. Allo stesso modo, è impossibile essere certi del contenuto effettivo di un allegato di posta elettronica. E sfortunatamente, poiché quasi chiunque al mondo può inviarsi e-mail a vicenda, ciò significa che tutti gli allegati e-mail devono essere trattati con sospetto. Ciò vale anche se l'e-mail di accompagnamento, ovvero il "biglietto d'auguri" nell'analogia, sembra provenire da una persona fidata.

Quali allegati e-mail è generalmente sicuro aprire?

Come per qualsiasi aspetto della sicurezza, non esiste alcun modo per garantire che un dato file sia sicuro. Tuttavia, rispondere alle seguenti domande può aiutare a stabilire se un allegato e-mail è attendibile. Se la risposta a una qualsiasi di queste domande è "no", è consigliabile che gli utenti contattino il presunto mittente o il team di sicurezza della propria organizzazione.

• Conosci il mittente? Gli allegati e-mail provenienti da una fonte nota hanno maggiori probabilità di essere affidabili rispetto agli allegati email provenienti da una fonte sconosciuta. È molto meno probabile che una persona che il destinatario non ha mai incontrato abbia una ragione legittima per inviare un allegato di posta elettronica, proprio come è improbabile ricevere regali di compleanno da sconosciuti.
• Puoi confermare che il mittente ha effettivamente inviato l'e-mail? Talvolta, i malintenzionati si spacciano per un mittente noto e attendibile, magari qualcuno presente nella rubrica del destinatario o nell'organizzazione. Possono farlo falsificando l'indirizzo e-mail del mittente o con lo spoofing oppure infiltrandosi nella posta in arrivo del mittente e inviando l'e-mail per suo conto.
• Ti aspettavi l'e-mail? Le e-mail inaspettate sono spesso un indicatore di un tentativo di attacco. La maggior parte delle e-mail dannose non è prevista: nessuno vuole essere violato, dopotutto.
• Ti aspettavi che l'e-mail avesse un allegato? Anche se l'e-mail in sé è prevista, un allegato inaspettato o irrilevante potrebbe essere dannoso.
• L'allegato è un tipo di file previsto? Ad esempio, se il mittente afferma di aver allegato o di voler allegare un'immagine, ma il file ricevuto è un PDF o un EXE, questo potrebbe indicare che il file non è attendibile.

Se a tutte queste domande si risponde affermativamente, è più probabile che l'allegato e-mail sia sicuro, anche se non è ancora garantito.

Quando gli allegati e-mail non sono sicuri da aprire?

Le domande della sezione precedente rappresentano un buon punto di partenza per identificare gli allegati potenzialmente pericolosi. Ulteriori indicatori che potrebbero indicare che l'apertura di un messaggio potrebbe non essere sicura sono i seguenti:

• Urgenza: gli autori di attacchi vogliono che le persone che ricevono le loro e-mail agiscano rapidamente, prima che abbiano il tempo di fare domande o indagare ulteriormente. L'e-mail potrebbe richiedere al destinatario di scaricare o aprire rapidamente l'allegato.
• L'e-mail viene inviata a un gruppo numeroso o a destinatari sconosciuti: gli aggressori a volte lanciano una rete il più ampia possibile per aumentare la probabilità che qualcuno scarichi l'allegato dannoso. Ciò avviene inviando e-mail dannose a lunghe liste di destinatari o a grandi gruppi di alias e-mail. Potrebbero provare a nascondere il numero di persone a cui è stata inviata l'email utilizzando Ccn e lasciando vuoto il campo "A".
• Stile di scrittura insolito nelle e-mail: errori di ortografia e grammatica sono un segnale comune che un'e-mail potrebbe provenire da un truffatore. A volte, però, anche i mittenti legittimi ignorano queste convenzioni. I destinatari dovrebbero confrontare l'e-mail con lo stile di scrittura tipico del mittente. Inoltre, se l'e-mail riguarda argomenti che il mittente solitamente non affronta, è possibile che in realtà non provenga dal presunto mittente.
• Mancanza di saluto personalizzato: gli autori di attacchi non hanno sempre il tempo di colpire le vittime una alla volta. Un saluto generico o mancante potrebbe indicare che l'e-mail non è legittima. Non è sempre così: in particolare negli attacchi di spear phishing e compromissione della posta elettronica aziendale, le minacce via e-mail sono talvolta altamente mirate e personalizzate.
• Il file allegato contiene malware: molti provider di posta elettronica identificano i possibili malware tramite analisi anti-malware e segnalano gli allegati pericolosi, un chiaro segnale che l'e-mail non deve essere aperta.

Quali tipi di allegati e-mail possono contenere malware?

Qualsiasi tipo di file può contenere codice dannoso. File di archivio, PDF, documenti Microsoft Word e fogli di calcolo Microsoft Excel sono stati utilizzati in numerosi attacchi malware. Tuttavia, i malintenzionati non si limitano a questi tipi di file. Qualsiasi cosa, dalle immagini ai file di testo, può essere pericolosa.

Uno dei tipi di file più palesemente pericolosi è il file eseguibile. I file eseguibili sono istruzioni di programmazione che un computer esegue quando i file vengono aperti. È raro che un mittente legittimo alleghi un codice eseguibile a un'e-mail: solitamente un programma software viene inviato in un altro modo. I file eseguibili hanno estensione EXE (su Windows) o APP (su Mac).

Cos'è un'estensione di file?

Un'estensione di file è il testo che segue il punto alla fine del nome di un file. Ad esempio, nel nome del file "quiche-recipe.doc", l'estensione del file è .doc o DOC. Le estensioni dei file indicano il tipo di file: un'estensione di file DOC indica che si tratta di un documento di Microsoft Word.

Le estensioni dei file possono essere falsificate o contraffatte. Identificare l'estensione del file non è un metodo affidabile per stabilire se un file è sicuro o meno.

Altre estensioni di file comuni da conoscere includono, ma non sono limitate a:

• Microsoft Word: .doc, .docx (DOC, DOCX)
• Microsoft Excel: .xls, .xlsx (XLS, XLSX)
• Adobe Acrobat PDF: .pdf (PDF)
• File eseguibili: .exe, .app (EXE, APP)
• File di archivio: .zip, .rar, .iso (ZIP, RAR, ISO)
• File immagine: .jpeg, .png, .gif (JPEG, PNG, GIF)
• File audio: .mp3, .wav (MP3, WAV)
• File Web: .html, .css, .js (HTML, CSS, JavaScript)
• File di testo normale: .txt (TXT)

In che modo gli autori di attacchi incorporano macro, script e altri contenuti pericolosi nei file comuni?

File di Office

Una macro è uno script eseguibile da utilizzare nei file di Microsoft Office, come Word ed Excel. Sebbene le macro abbiano molteplici usi legittimi, sono state anche impiegate in attacchi. Se un allegato e-mail chiede al destinatario di abilitare le macro, potrebbe essere dannoso.

PDF

Gli autori di attacchi possono incorporare codice JavaScript dannoso nei PDF, insieme a link a siti Web pericolosi o file ospitati nel cloud controllati dagli autori di attacchi.

File di archivio

Un file di archivio è un formato di file per archiviare uno o più file in un contenitore, insieme ai metadati sui file. Spesso anche i file di archivio vengono compressi per renderli più portabili. Un file di archivio è solo un contenitore per i file in esso contenuti: al suo interno potrebbe esserci qualsiasi cosa. Ciò li rende convenienti per gli autori di attacchi, che possono nascondere un file dannoso all'interno di un file di archivio, quindi indurre un utente a scaricare il file e ad aprirne il contenuto.

Altri file

Script e link non sicuri possono essere inclusi in quasi tutti i tipi di file, direttamente nel file o nascosti nei suoi metadati. Inoltre, gli autori di attacchi possono falsificare l'estensione di un file in modo che il file dannoso sembri un'immagine, un file audio, un file video, un file TXT o un altro tipo di file di cui l'utente potrebbe fidarsi.

Quali sono alcuni degli attacchi ransomware che hanno utilizzato allegati e-mail?

Nel corso degli anni, molti attacchi ransomware sono penetrati in un'organizzazione o hanno raggiunto il computer della vittima tramite un allegato e-mail. Gli esempi includono:

• Il ransomware Petya si diffonde spesso tramite e-mail ai dipartimenti delle risorse umane con false domande di lavoro allegate in formato PDF.
• Inizialmente, il ransomware Maze si diffondeva alle sue vittime tramite allegati e-mail dannosi. Questo metodo potrebbe essere ancora utilizzato, ma Maze si diffonde anche tramite exploit di vulnerabilità RDP e altri vettori di attacco.
• È stato osservato che il gruppo ransomware REvil utilizza allegati e-mail dannosi per diffondere il ransomware.

Alcuni attacchi ransomware non utilizzano direttamente gli allegati e-mail, ma si basano su attacchi precedenti che hanno avuto luogo tramite allegati e-mail. Il ransomware Ryuk spesso entra in un'organizzazione tramite un'infezione TrickBot, che a sua volta si diffonde spesso tramite la botnet Emotet. Questi attacchi multistrato sono comuni e dimostrano la varietà di azioni a disposizione di un aggressore una volta che ha messo piede nella rete di un'organizzazione. Emotet si è diffuso più comunemente tramite documenti Word dannosi allegati alle e-mail.

Quali altri attacchi utilizzano gli allegati e-mail?

Qualsiasi script o malware può essere nascosto in un allegato e-mail, consentendo così agli aggressori di accedere alle reti, rubare dati riservati ed eseguire altre azioni dannose. Una volta aperto dal destinatario, l'allegato e-mail può essere utilizzato per diffondere spyware, adware, worm o persino botnet.

I gateway di posta elettronica sicuri bloccano gli allegati di posta elettronica dannosi?

I gateway di posta elettronica sicuri filtrano il traffico di posta elettronica non sicuro, tra cui spam, e-mail di phishing e allegati e-mail pericolosi. Molti gateway di posta elettronica sicuri includono funzionalità di scansione anti-malware, che consentono loro di identificare il malware nei file allegati. Mantengono inoltre elenchi di minacce note e bloccano tutte le e-mail provenienti da esse.

Tuttavia, i gateway di posta elettronica sicuri non costituiscono una garanzia contro gli attacchi basati sugli allegati di posta elettronica. I nuovi tipi di malware potrebbero non essere rilevati; le e-mail inviate da fonti attendibili o sconosciute potrebbero non essere bloccate; e perfino i contenuti dannosi noti a volte possono superare le difese.

Molte organizzazioni cercano di evitare del tutto l'uso di allegati e-mail e invece utilizzano portali di caricamento file sicuri o condividono link ai file nel cloud (che comportano dei rischi). Ulteriori strategie per ridurre la minaccia rappresentata dagli allegati e-mail includono:

• I servizi di sicurezza della posta elettronica che identificano in modo proattivo l'infrastruttura degli attacchi via e-mail, inclusi domini e server, possono bloccare gli attacchi prima che abbiano inizio. Cloudflare Area 1 Email Security adotta questo approccio.
• I gateway Web sicuri, il filtro DNS e il filtro URL possono bloccare le richieste provenienti dagli allegati e-mail ai server degli autori di attacchi, spesso un passaggio necessario per scaricare l'effettivo payload dannoso che l'autore dell'attacco desidera installare.
• Zero Trust Network Architecture (ZTNA) isola rapidamente il danno se un'infezione si diffonde tramite un allegato e-mail, impedendo il spostamento laterale.

Nonostante le innumerevoli app di comunicazione disponibili oggi, la posta elettronica resta il metodo di comunicazione più utilizzato da molte organizzazioni, il che rende la sicurezza della posta elettronica fondamentale per la protezione dagli attacchi. Scopri di più sulla sicurezza della posta elettronica.