PEC mails met virussen: hoe ze te herkennen en je te verdedigen

PEC mails worden ook gebruikt om virussen te verspreiden, maar in veel mindere mate dan traditionele mailboxen. Zo herkent u gevaarlijke berichten.

Hackers hebben een nieuwe manier gevonden om computervirussen te verspreiden: PEC. En ze hebben ook geleerd om e-mails in uitstekend Italiaans te schrijven, zonder grove fouten, om gecertificeerde e-mailberichten geloofwaardiger te maken.

In minder dan twee maanden, sinds begin 2021, heeft het Computer Emergency Response Team (CERT) van de Agenzia per l’Italia Digitale, dat rechtstreeks aan het voorzitterschap van de Raad van Ministers rapporteert, al twee PEC e-mailcampagnes onderschept via welke het sLoad-virus werd overgebracht. Naast het feit dat de hackers PEC hebben gekozen als methode om de malware te verspreiden, en naast het feit dat het bericht zeer geloofwaardig is voor de gemiddelde gebruiker, moet ook worden gewezen op de techniek die is gebruikt om het virus te verbergen voor antivirussoftware: er is namelijk gebruik gemaakt van de techniek van “double ZIP”.

PEC e-mail met virus: hoe het eruit ziet

De laatste besmette PEC e-mail die door CERT is onderschept, is blijkbaar de klassieke zakelijke e-mail met als onderwerp een te betalen factuur. In het door de gebruiker ontvangen bericht staat: “Wij sturen als bijlage bij deze brief een kopie in pdf-formaat van de elektronische factuur die via de uitwisselingsdienst is verzonden overeenkomstig de wettelijk vastgestelde procedures”.

Daarna volgt het bericht met de gebruikelijke verklaringen voor elektronische facturen: “Dit bericht is uitsluitend bestemd voor de geadresseerde en kan informatie van vertrouwelijke aard bevatten. Eenieder die het per vergissing ontvangt, wordt verzocht de afzender daarvan onmiddellijk in kennis te stellen en het ontvangen exemplaar te vernietigen. Elk ander gebruik is verboden”.

Dus we zijn lichtjaren verwijderd van de klassieke phishing-e-mail die met een automatische vertaler is geschreven: er zijn geen grammaticale fouten, er zijn geen oproepen tot dringende actie, er is alleen een bericht dat volkomen geloofwaardig overkomt.

De dubbele ZIP-techniek

Hoewel in de tekst van de PEC sprake is van een PDF-factuur, is de bijlage in ZIP-formaat. Vervolgens is er een tweede ZIP, en ten slotte bevindt zich binnen de tweede ZIP een VBS-bestand en een XML-bestand.

In deze twee bestanden bevindt zich het echte virus: sLoad, een malware die als hoofddoel heeft andere virussen te downloaden, meestal banktrojaanse paarden die de inloggegevens van de online bankrekening stelen, zodat hackers namens ons overschrijvingen kunnen uitvoeren.

Is PEC veilig?

De CERT-AGID heeft onlangs herhaald dat PEC-boxen in vergelijking met traditionele e-mailboxen veel veiliger zijn: het aantal virussen dat via PEC wordt overgebracht is nog steeds oneindig veel lager.

Maar het neemt toe, net als het gebruik van PEC. Daarom mag u nooit uw waakzaamheid laten verslappen en moet u, zelfs bij PEC, de twee gouden regels in acht nemen: download nooit bijlagen en klik nooit op links tenzij u 100% zeker bent van de afzender en de inhoud van het bericht.