venerdì 25 ottobre 2019

Fattura elettronica, truffa elettronica


Come ogni nuovo strumento informatico, anche la fatturazione elettronica viene sfruttata per perpetrare truffe e reati informatici vari.
Sarà capitato di ricevere per email o Posta Elettronica Certificata messaggi apparentemente provenienti dal Sistema di Intercambio dell’Agenzia delle Entrate. Si tratta di messaggi ben confezionati, che imitano gli originali autentici.

È corretto ricevere fatture via PEC?

Devo premettere che il fatto di ricevere fatture elettroniche via PEC non è una prassi standard. Infatti non è ammesso l’invio diretto dal cessionario al cedente di documenti fiscali elettronici, ma occorre passare sempre attraverso il sistema di interscambio.
Il sistema di interscambio NON invia PEC al destinatario, a meno che questi non abbia espressamente attivato questa opzione nell’apposita sezione. Se non si è attivata questa opzione non ci si deve attendere alcuna PEC di consegna fattura dal SdI.

Messaggi con allegato infetto

In alcuni casi al messaggio è allegato un file che presumibilmente dovrebbe essere il documento fiscale. Ma osservando bene si noterà che la sua estensione non è la dovuta .XML ma potrebbe essere un .XLS (ingannevolmente somigliante) oppure .ZIP , .VBS o anche .DOC.
In questo tipo di truffe lo scopo è semplicemente quello di installare un Virus nel computer, probabilmente un ramsonware, ovvero un sistema in grado di “sequestrare” i dati dell’utente al fine di chiedere un riscatto. (https://it.wikipedia.org/wiki/Ransomware)

Prevenzione:

-Diffidare di messaggi di questo tipo anche se provenienti da corrispondenti conosciuti, anche se si hanno avuti scambi epistolari recenti, anche se ricevuti attraverso la Posta Certificata,
-Diffidare a maggior ragione se gli allegati presenti sono diversi da due file entrambi con estensione .XML,
-Evitare di aprire l’allegato e/o cliccare sui link eventualmente presenti,
-Verificare sul Sistema di Interscambio o sul proprio sistema di fatturazione elettronica se effettivamente è arrivata una fattura e scaricarla solo da li.

Comunicato stampa dell’AdE del 13 settembre 2019:


Messaggi di phishing senza allegato infetto

Altri messaggi invece non hanno alcun allegato attivo come sopra descritto. Possono essere presenti allegati .XML di aspetto conforme.
Nel testo sono presenti istruzioni che invitano ad utilizzare per i successivi invii di fatture in formato .XML un nuovo indirizzo PEC.
Ecco un esempio:
Invio file IT6107048106_abcde.XML.p7m, con identificativo 5243567809. In allegato il file contenente la fattura ed il file contenente i metadati.
La mail e' inviata dal Sistema di Interscambio per la fatturazione elettronica (L. 244/2007).
Se il file allegato presenta estensione .xml.p7m vuol dire che e' stato firmato digitalmente con firma Cades; per aprirlo e' necessario installare sul proprio computer un apposito software.
Tali software sono facilmente reperibili sul web sia a pagamento che gratuitamente (licenza open source). Il file xml ottenuto dopo aver 'decifrato' la firma puo' essere agevolmente visualizzato
in formato PDF utilizzando la funzionalita` 'Visualizza PDF Fattura' dell'area 'Fatturazione elettronica' del sito Fatture e Corrispettivi.
Per qualsiasi necessita' di chiarimenti non rispondere a questa mail, ma utilizzare i tradizionali canali di assistenza presenti sul sito www.fatturapa.gov.it.
Il nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio,  fino ad un eventuale nuovo avviso, e' xxxxxx.xxxxxx@pec.it. L'utilizzo di un indirizzo diverso non garantisce il buon esito del recapito al destinatario.

Quale è lo scopo di questa minaccia? Come può installare Virus?
Semplicemente non lo fa. In base a quanto ho potuto osservare ritengo che il meccanismo di azione è il seguente:
1. Si induce il soggetto che lecitamente emette una fattura ad un suo cliente ad inviare la stessa ad un indirizzo controllato dal truffatore invece di quello del Sistema di Interscambio (si tratta probabilmente di un indirizzo PEC violato mediante furto di credenziali),
2. Il truffatore riceve la fattura e la modifica, sostituendo l’IBAN del creditore con uno di appoggio,
3. La fattura viene recapitata al legittimo destinatario attraverso il regolare sistema di interscambio (Ciò è fattibile perché è possibile inviare un documento con contenuto del tutto arbitrario, purché coerente con le specifiche tecniche, anche nelle sezioni “cedente” e “cessionario”),
4. Il debitore riceve una fattura, perfettamente regolare ed attesa, attraverso il canale ufficiale, per cui effettua il bonifico sul conto truffaldino di appoggio.

Prevenzione:

In aggiunta alle precauzioni precedentemente indicate:
-Non inviare mai un documento fiscale ad un indirizzo PEC che non sia nella forma prevista dall’Agenzia delle Entrate, solitamente sdi..@pec.fatturapa.it, oppure utilizzare altri canali di invio quali generatore online dell’AdE, l’upload oppure i sistemi di fatturazione elettronica di terze parti.

Il rischio esiste anche se non si è il bersaglio diretto del phishing!

Dalla dinamica appena esposta si può capire che anche un ignaro destinatario di fattura elettronica può rimanere truffato: può accadere se a diventare bersaglio del phishing è un suo fornitore.

Come prevenire:

Il comportamento più efficace contro questo particolare meccanismo di truffa è quello di verificare sempre il codice IBAN prima del pagamento, contattando direttamente il soggetto emittente (non prestare fede nemmeno ai contatti presenti nella fattura stessa).

Comunicato stampa dell’AdE del 14 ottobre 2019:



Nessun commento:

Posta un commento