Indennità Covid-19 nel mirino hacker: clonato il portale INPS
L’Inps nel mirino malware: quali condotte adottate dagli hacker?
Come abbiamo esaminato nei precedenti post, nel corso degli ultimi mesi si sono verificati numerosi attacchi malevoli, che hanno sfruttato il timore del contagio e lo stato di necessità economica della popolazione.
Da ultimo, infatti, il portale dell’Inps è stato oggetto di un importante data breach, classificato dal Garante per la protezione dei dati personali come un episodio a rischio “elevato” per i diritti e le libertà dei soggetti coinvolti.
La popolarità e la centralità che l’Inps ha assunto nel corso degli ultimi due mesi, in ragione delle massicce richieste di sussidi economici, hanno costituito gli indispensabili presupposti per il lancio di una nuova campagna malevola. Al fine di indurre i contribuenti in inganno, è stato predisposto un portale che richiamava graficamente ed intuitivamente il sito dell’Istituto di previdenza; l’unica più spiccata differenza con il sito ufficiale consiste nel dominio della pagina fake, creato in data 25 maggio 2020 e registrato come “inps-it[.]top”.
In particolare, sfruttando la richiesta di indennità Covid-19, gli hacker hanno esposto una pagina clone del sito INPS sul dominio fake, proponendo in download una sedicente “domanda per la nuova indennità COVID-19”: il file, in realtà, restituisce un file APK malevolo per utenti Android (con Build$VERSION.SDK_INT < 26). Il malware così veicolato è dunque destinato esclusivamente agli utenti Android.
Dalla prima analisi svolta da Cert-AgID, si è verificato che il download della domanda determina l’installazione sul dispositivo del file “acrobatreader.apk”, contenente un malware di tipo Trojan–Banker. Come esaminato nei precedenti post, una volta installati, i Banking Troyan possono osservare e tracciare le azioni compiute dall’utente: in tal caso, il malware propone le istruzioni per abilitare il servizio di accessibilità, al fine di sfruttare le legittime funzioni di tale servizio e quindi consentire al malware un accesso più ampio alle API di sistema per dialogare con altre app presenti sul dispositivo, al fine di carpire password ovvero informazioni bancarie e della carta di credito.
L’attività fraudolenta così realizzata si aggiunge alla nota campagna di phishing dello scorso aprile, causata ai danni degli utenti Inps.
Le minacce informatiche costituiscono una costante sfida nel trattamento dati. Esse richiedono, in capo al Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:
- La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
- L’implementazione di misure che garantiscano la privacy by default e by design;
- Il rispetto dei diritti dell’interessato;
Si ricorda, inoltre, che il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.
Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute: questi, in realtà, contengono varie minacce, come quelle adware “advertising supported software” (software sovvenzionato da pubblicità). Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.
L’importanza della formazione e della consulenza specialistica come fattore di prevenzione
Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.
Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:
- “Smart working, Privacy e Cyber Security”;
- “La Protezione dei Dati Personali nei luoghi di lavoro pubblici e privati”.
I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.
Inoltre, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità alla normativa rilevante in materia.
Si segnalano, per i percorsi formativi e di aggiornamento:
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
- Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
- Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.