I criminali informatici sono pronti a sfruttare qualsiasi argomento di interesse come esca per mettere a segno i propri attacchi. Oltre alle notizie legate agli avvenimenti di stringente attualità, come il conflitto ucraino, in questo periodo vanno per la maggiore le esche sul tema delle tasse, legate alle scadenze fiscali a cui sono chiamate le aziende. Gli esperti di Bitdefender Labs fanno notare che si tratta di un tema ciclico che si ripropone ogni anno, sottoforma di email di phishing che imitano la corrispondenza ufficiale relativa alle tasse.

L'ondata è partita la scorsa settimana, con campagne di spam mirate, che forniscono due famigerati Trojan che rubano le credenziali: LokiPWS ed Emotet, contro contribuenti di tutto il mondo. LokiPWS è un trojan che prende di mira principalmente dispositivi Windows e Android per rubare informazioni sensibili tra cui nomi utente e password, dati del portafoglio di criptovaluta e altre credenziali. LokiPWS consente agli aggressori di rubare dati sensibili da macchine infette portando a gravi problemi di privacy e danni finanziari per le sue vittime.

La prima campagna di malspam che ha consegnato LokiPWS è stata avvistata il 14 marzo. Il 93% delle email dannose proviene da indirizzi IP negli Stati Uniti.Gli attacchi si sono diffusi in Europa e in Asia, con il 27% delle email dannose recapitate nelle caselle di posta della Repubblica Ceca. Gli altri Paesi interessati sono la Corea del Sud con il 15% delle email dannose, l'Irlanda con il 13%, l'India con il 10%, il Regno Unito con il 5% e Romania, Ungheria e Grecia con il 3% ciascuna.

Il messaggio, che imita quelli ufficiali del Dipartimento delle imposte nazionali, chiede ai destinatari di visionare l'allegato "Obbligo imposta sul valore aggiunto.rar" per dettagli sull'IVA non pagata. Un secondo tentativo di consegnare LokiPSW è stato segnalato il 18 marzo e amplia il periodo d'imposta e di conseguenza l'importo IVA.

Per quanto riguarda invece Emotet, il 18 marzo è iniziata una campagna che impersonava l'Internal Revenue Service agli utenti americani. Il primo lotto di email di phishing proveniva da indirizzi IP in Giappone (37%) e Messico (23%), e ha interessato marginalmente anche le caselle di posta del Regno Unito.

In questo caso l'esca era il modulo fiscale W-9 e le email erano particolarmente credibili sia sotto l'aspetto lessicale che per il logo IRS e le informazioni di contatto.

#crdede

Come proteggersi

Essere a conoscenza dell'esistenza di queste truffe stagionali è il primo passo per non abboccare al tranello. È necessario guardare con sospetto qualsiasi comunicazione legata a temi ricorrenti e ciclici, non rispondere mai direttamente e non fornire informazioni bancarie, codici PIN o password.

Inoltre, gli esperti di cyber security invitano a controllare attentamente la presenza di errori ortografici e grammaticali, che in genere smascherano la natura malevola della comunicazione. Quanto agli allegati, vale sempre la regola d'oro di security posture: non aprire allegati o fare clic su collegamenti incorporati. Vale infine al pena ricordare che è necessario proteggere i propri dati usando password complesse e univoche per tutti i tuoi account e abilita l'autenticazione a due fattori ove possibile.