Una Mail Apparentemente Innocua
Arriva una mail dal tono professionale: mittente con nome e azienda credibili, testo formale, riferimento a una fattura scaduta. Allegato: un file chiamato fattura.zip.txt (o varianti come fattura.pdf.zip, ricevuta.doc.exe ecc.). È sufficiente un doppio clic per scatenare un disastro.
Questa tecnica è tra le più diffuse nelle campagne di malware aziendali in Italia e nel mondo. Capire perché funziona — e come difendersi — è oggi una necessità per qualsiasi professionista o imprenditore.
L’Inganno del Doppio Estensione
Il nome fattura.zip.txt sfrutta una debolezza comune: Windows, per impostazione predefinita, nasconde le estensioni dei file conosciuti. Questo significa che un file chiamato fattura.pdf.exe potrebbe apparire sul desktop semplicemente come fattura.pdf, con l’icona di un documento PDF. L’utente pensa di aprire una fattura, ma in realtà sta eseguendo un programma.
Le varianti più comuni di questo trucco includono:
fattura.pdf.exe— sembra un PDF, è un eseguibiledocumento.docx.js— script JavaScript mascherato da Wordricevuta.zip— archivio che contiene a sua volta un file.exeo.vbsfattura.zip.txt— può contenere script o payload malevoli spacciati per testo
L’obiettivo è sempre lo stesso: indurre l’utente ad eseguire codice malevolo.
Cosa Succede Dopo il Doppio Clic
Una volta aperto il file, il malware può agire in molti modi a seconda del suo tipo:
Trojan ad accesso remoto (RAT): il criminale ottiene il controllo completo del computer. Può vedere lo schermo, registrare i tasti digitati, accedere ai file, attivare la webcam. Tutto questo in silenzio, mentre l’utente continua a lavorare ignaro.
Ransomware: i file del computer — e spesso dell’intera rete aziendale — vengono cifrati. Compare poi un messaggio che chiede un riscatto in criptovaluta per recuperarli. Molte PMI italiane hanno perso anni di dati o sono state costrette a pagare somme ingenti.
Infostealer: il malware raccoglie automaticamente password salvate nel browser, credenziali bancarie, dati delle carte di credito, accessi a piattaforme cloud e li trasmette ai criminali.
Backdoor: viene aperta una “porta sul retro” nel sistema, utilizzata per tornare in seguito, installare altri malware o usare il computer come trampolino per attaccare altri.
Il Contesto della Truffa: Business Email Compromise (BEC)
La mail con il file fattura.zip.txt fa spesso parte di una truffa più ampia chiamata Business Email Compromise. Il meccanismo è raffinato:
- I criminali inviano una mail fingendo di essere un fornitore, un cliente o un collega con una fattura da pagare.
- L’allegato malevolo serve a infettare il sistema e rubare le credenziali email.
- Con l’accesso alla casella di posta, i criminali monitorano le comunicazioni reali e, al momento giusto, intervengono modificando le coordinate bancarie in una transazione legittima.
- Il denaro finisce su un conto controllato dai criminali.
Secondo i dati dell’FBI, le truffe BEC hanno causato perdite globali per miliardi di dollari ogni anno. Le PMI sono il bersaglio preferito, perché spesso hanno difese informatiche più deboli.
Segnali di Allarme da Non Ignorare
Alcune caratteristiche ricorrenti nelle mail di questo tipo:
- Mittente sconosciuto o con dominio strano (es.
@gmail.cominvece del dominio aziendale) - Urgenza artificiale: “pagamento immediato”, “fattura scaduta”, “risposta entro oggi”
- Tono generico senza riferimenti specifici al tuo rapporto commerciale reale
- Allegati con nomi doppi:
documento.pdf.zip,fattura.docx.exe - Richieste di confermare coordinate bancarie via mail
- Link abbreviati o URL che non corrispondono al presunto mittente
Come Proteggersi: Regole Pratiche
Per i singoli utenti:
Abilitare la visualizzazione delle estensioni in Windows: Esplora file → Visualizza → Opzioni → Visualizzazione → deselezionare “Nascondi le estensioni per i tipi di file conosciuti”. Questa semplice impostazione svela immediatamente i file con doppie estensioni.
Non aprire mai allegati da mittenti sconosciuti, anche se il testo sembra professionale. In caso di dubbio, verificare telefonicamente con il presunto mittente prima di aprire qualsiasi file.
Non abilitare mai le macro in documenti Office ricevuti via mail, anche se il documento lo richiede esplicitamente.
Per le aziende:
Adottare soluzioni di email filtering che analizzino gli allegati in sandbox prima che raggiungano l’utente finale. Formare periodicamente il personale con simulazioni di phishing. Implementare l’autenticazione a due fattori su tutte le caselle email aziendali. Tenere aggiornati sistemi operativi e antivirus. Effettuare backup regolari su supporti non connessi alla rete.
Se Hai Già Aperto il File: Cosa Fare Subito
- Disconnetti immediatamente il computer dalla rete (stacca il cavo ethernet, disattiva il Wi-Fi).
- Non spegnere il computer — alcune analisi forensi richiedono che sia acceso.
- Avvisa il responsabile IT o un professionista della sicurezza informatica.
- Cambia tutte le password da un dispositivo diverso e non compromesso.
- Segnala l’incidente alla Polizia Postale (www.commissariatodips.it) e, se si tratta di dati personali di terzi, al Garante per la Privacy entro 72 ore.
- Non pagare riscatti senza prima consultare un esperto: spesso il pagamento non garantisce il recupero dei dati.
Conclusione
Un file chiamato fattura.zip.txt può sembrare banale. In realtà è la porta d’ingresso di un attacco che può paralizzare un’azienda, svuotare un conto corrente o compromettere anni di lavoro. La consapevolezza è la prima — e spesso la più efficace — linea di difesa. Fermarsi un secondo prima di fare doppio clic su un allegato sospetto può fare la differenza tra la normalità e una crisi informatica.
Articolo informativo sulla sicurezza informatica. Per una valutazione professionale della tua infrastruttura IT, rivolgiti a un esperto certificato in cybersecurity.