WebMail
Anche se riteniamo che l'utilizzo della WebMail per leggere e mantenere i propri messaggi di posta sia abbastanza semplice e alla portata di tutti, ma, dato che la PEC ha delle regole importanti da tenere sempre a mente, è giusto che perdiate alcuni minuti nel leggere gli argomenti trattati in questa pagina in modo da capire, oltre a quelle che sono le differenze tra un messaggio certificato ed un semplice messaggio ordinario che abitualmente utilizzate, anche altre funzionalità e alcune problematiche che sono state evidenziate nel corso degli anni.
Link degli argomenti trattati in questa pagina:
1) URL WEBMAIL
2) DOWNLOAD ISTRUZIONI WEBMAIL
3) ISTRUZIONI WEBMAIL
4) COME VISUALIZZARE LE FATTURE ELETTRONICHE PERVENUTE NELLA WEBMAIL
5) COME SCARICARE GLI ALLEGATI DALLA WEBMAIL
6) COME CREARE DELLE CARTELLE PERSONALIZZATE NELLA WEBMAIL
7) COME ELIMINARE O SVUOTARE LE CARTELLE PERSONALIZZATE DALLA WEBMAIL
8) PROBLEMI RISCONTRABILI NELL'UTILIZZO DELLA WEBMAIL PER INVIARE DEI MESSAGGI CON ALLEGATI
9) MESSAGGIO DI AVVISO RELATIVO ALLA PROTEZIONE CONTRO CSRF O XSRF
-------------------------------------------------------------------------------------------------------------------------------------
1) URL WEBMAIL
Sicurezza
La WebMail utilizza il protocollo HTTPs. I dati inviati tramite HTTPs vengono protetti tramite il protocollo SSL, garantendone la massima confidenzialità.
Immediata verifica del messaggio inviato
Per ogni invio effettuato, vengono immediatamente visualizzate le relative ricevute nella 'Posta in arrivo'.
Servizio di Archiviazione
Il servizio, al fie di garantire il mantenimento nel tempo, può essere utilizzato mantenendo all'interno della WebMail i vostri messaggi inviati e ricevuti.
Indirizzo Webmail
L'indirizzo web per collegarsi da qualsiasi computer alla propria WebMail LegalPEC è:
https://legalpec.webmailpec.it
........
......
clicca nell'immagine sopra per accedere direttamente
2) DOWNLOAD ISTRUZIONI WEBMAIL
CLICCA QUI per scaricare e quindi stampare le istruzioni delle webmail
3) ISTRUZIONI WEBMAIL
Il titolare della casella di PEC ha la possibilità di accedervi attraverso un comune browser Internet.
L'accesso alla Webmail viene effettuato inserendo i parametri 'Nome utente' e 'Password'.
Non è necessaria alcuna configurazione per l'utilizzo della casella PEC.
Una volta collegato all'indirizzo è necessario inserire le credenziali d'accesso della propria casella di PEC.
Superata la validazione dell'accesso al sistema accedi all'interno della WebMail
(cliccare nelle immagini per ingrandirle)
FUNZIONALITA’
In questa schermata l’Utente ha a disposizione diverse funzionalità:
1. Accesso alla posta elettronica.
2. Gestione della rubrica.
3. Impostazioni della webmail e delle funzionalità.
4. Disconnessione dalla Webmail.
A. Aggiornare l’elenco delle mail ricevute
B. Scrivere un nuovo messaggio
C. Rispondere alla mail selezionata
D. Rispondere a tutti i destinatari della mail selezionata
E. Inoltrare la mail selezionata
F. Eliminare la mail selezionata
G. Contrassegnare la mail selezionata come: letta, non letta, contrassegnata o non contrassegnata
H. Aprire il menù delle funzionalità avanzate che comprende: stampare il messaggio, scaricare la mail in formato .eml, modificare il messaggio come nuovo, visualizzare il sorgente della mail ed aprire in una nuova finestra del browser
I. Visualizzare solamente alcune categorie di email
L. Cercare nella posta in arrivo
B. Scrivere un nuovo messaggio
C. Rispondere alla mail selezionata
D. Rispondere a tutti i destinatari della mail selezionata
E. Inoltrare la mail selezionata
F. Eliminare la mail selezionata
G. Contrassegnare la mail selezionata come: letta, non letta, contrassegnata o non contrassegnata
H. Aprire il menù delle funzionalità avanzate che comprende: stampare il messaggio, scaricare la mail in formato .eml, modificare il messaggio come nuovo, visualizzare il sorgente della mail ed aprire in una nuova finestra del browser
I. Visualizzare solamente alcune categorie di email
L. Cercare nella posta in arrivo
M. Visualizzare lo spazio residuo nella casella e‐mail
N. Scorrere le pagine
La Webmail consente lo spostamento delle email da una cartella all’altra facendo uso della funzione drag & drop (cioè selezionando la/e mail/s e trascinandola/e fisicamente sopra la cartella di destinazione), oltre alla possibilità di spostarle selezionando le mail e cliccando col tasto destro del mouse.
N. Scorrere le pagine
La Webmail consente lo spostamento delle email da una cartella all’altra facendo uso della funzione drag & drop (cioè selezionando la/e mail/s e trascinandola/e fisicamente sopra la cartella di destinazione), oltre alla possibilità di spostarle selezionando le mail e cliccando col tasto destro del mouse.
GESTIONE EMAIL
Una volta cliccato su E-Mail, nella colonna di sinistra trovi le cartelle principali del tuo account: messaggi ricevuti e inviati, mentre, in basso, nella stessa colonna, trovi la percentuale di spazio occupato del tuo account.
Tramite la webmail si possono inviare nuovi messaggi, leggere i messaggi ricevuti, cercare i messaggi in giacenza (se non cancellati), gestire la rubrica personale e modificare le impostazioni dell'applicazione.
Inoltre, utilizzando la webmail per inviare i vostri messaggi certificati, sarà possibile scegliere tra 3 diverse tipologie di ricevuta di avvenuta consegna del messaggio, anche se è consigliabile utilizzare solo ed esclusivamente la tipologia "COMPLETA":
- COMPLETA (oltre ai dati di certificazione contiene, in allegato, il messaggio originale completo di eventuali allegati presenti)
- BREVE (oltre ai dati di certificazione contiene, in allegato, il messaggio originale nel quale gli allegati vengono sostiuiti dalla loro codifica hash)
- SINTETICA (contiene solamente i dati di certificazione senza messaggio originale).
NOTA IMPORTANTE: tenere sempre a mente che qualora non venga utilizzata la funzionalità della ricevuta di consegna "COMPLETA": il mittente ha sicuramente la certezza dell'avvenuta consegna del messaggio ma non ha indietro la prova esatta, firmata digitalmente dal gestore di posta certificata, del messaggio spedito perchè, non utilizzando la ricevuta di consegna "COMPLETA" solamente il destinatario del messaggio riceve il messaggio firmato digitalmente che ne certifica il contenuto. Per superare questo limite, è sufficiente utilizzare sempre ed esclusivamente la funzionalità di richiesta della ricevuta di consegna "COMPLETA".
Sempre nella webmail, oltre alla scelta della tipologia di ricevuta di avvenuta consegna, è anche possibile scegliere il formato del messaggio da inviare (testo semplice o HTML), in questo caso non ci sono limiti all'uso di uno o dell'altro formato.
ATTENZIONE: la ricevuta di consegna conferma unicamente la ricezione del messaggio nella casella di posta del destinatario ma non dimostra che il messaggio sia stato letto dal destinatario stesso, ma, per legge, l'importante è avere la certezza che la consegna del messaggio è stata eseguita, poi se il destinatario non la legge immediatamente, per voi non ha nessuna importanza.
ALTRE OPERAZIONI ESEGUIBILI TRAMITE LA WEBMAIL
INSERIMENTO/MODIFICA EMAIL DI AVVISO E DI REDIRECT
Tramite la webmail è possibile verificare, inserire o modificare autonomamente l'indirizzo di avviso o di notifica e l'indirizzo di recirect o di inoltro.
Questi servizi (avviso/notifica e redirect/inoltro), sono indispensabil se decidete di utilizzare esclusivamente la webmail per la vosra posta certificata senza attivare nessun account su di un programma di posta elettroniva all'interno del vostro PC, infatti abilitando il servizio di avviso o di notifica verso un vostro indirizzo di posta ordinario, ogni volta che perverrà un messaggio al vostro indirizzo certificato, il programma provvederà ad inoltravi una comunicazione che vi comunicherà la ricezione di un messaggio certificato, quindi, ricevendo tale comunicazione nel vostro abituale indirizzo email ordinario sarete informati della ricezione di un nuovo messaggio certificato, pertanto, collegandovi alla webmail, potete andare a leggere il contenuto del messaggio ricevuto senza doversi collegare frequentemente alla webmail per vedere se sono pervenuti nuovi messaggi di PEC.
Diverso invece il servizio di redirect o di inoltro in quale prevede, dato che la posta certificata riceve messaggi solo se inoltrati da altri indirizzi certificati, di recapitare al vostro indirizzo ordinario l'intero messaggio che è stato inoltrato al vostro indirizzo certificato da un normale indirizzo ordinario, evitando cosi la sua perdita.
IMPORTANTE: è sottointeso che per nessuna ragione saremo ritenuti responsabili per la mancata ricezione del messaggio di avviso o di redirect nel vostro indirizzo ordinario che avete inserito in quanto non possiamo sapere quale tipologia di gestione della posta è applicata da chi gestisce il vostro indirizzo email ordinario il quale, anche a vostra insaputa, può utilizzare dei controlli antispam nei messaggi che transitano per i loro server che potrebbero cancellare tali messaggi se questi fossero ritenuti dei messaggi di spam oppure potrebbe, sempre a vostra insaputa, avere dei problemi con indirizzi di posta ordinari o con indirizzi IP da loro gestiti perchè inseriti in una o più BlackList le quali, per il lavoro da loro svolto, impediscono la corretta ricezione dei messaggi e, di conseguenza, il corretto inserimento nel vostro indirizzo ordinario della comunicazione di avviso o di redirect inoltrato dal sistema certificato.
Per questo motivo, specialmente per coloro che utilizzano la sola webmail per controllare la posta certificata, consigliamo di verificare periodicamente il contenuto della casella tramite webmail, proprio per evitare che qualche segnalazione di arrivo di un messaggio certificato, venga perduto per la causa sopra indicata.
Per eseguire queste operazion, dalla webmail, cliccare sul link IMPOSTAZIONI e poi seguire le istruzioni presenti in queste 2 successive immagini (cliccare nelle immagini per ingrandirle).
Nell'immagine a sinistra come controllare, modificare o inserire l'indirizzo email di avviso o di notifica verso il proprio indirizzo di posta ordinario, mentre in quella di destra le istruzioni per controllare, modificare o inserire il proprio indirizzo ordinario di redirect o di inoltro dove saranno inoltrati i messaggi che sono stati spediti al tuo indirizzo certificato da un indirizzo di posta ordinario.
___________________________________________________________________________________________________________________________________
REPORT EMAIL GIORNALIERO
Per un maggior controllo dei messaggi in arrivo nella propria casella PEC, oltre all'abilitazione nel proprio indirizzo email dei messaggi di notifica di arrivo di una PEC (Avviso) e la gestione dei messaggi ordinari (Redirect) che possono pervenire da indirizzi non certificati alla propria casella PEC, è possibile attivare anche l'invio di una email giornaliera con il resoconto (Report) dei messaggi ricevuti nelle ultime 24 ore.
Per un maggior controllo dei messaggi in arrivo nella propria casella PEC, oltre all'abilitazione nel proprio indirizzo email dei messaggi di notifica di arrivo di una PEC (Avviso) e la gestione dei messaggi ordinari (Redirect) che possono pervenire da indirizzi non certificati alla propria casella PEC, è possibile attivare anche l'invio di una email giornaliera con il resoconto (Report) dei messaggi ricevuti nelle ultime 24 ore.
Per fare l'attivazione di questo servizio, non attivo di default, basta collegarsi dalla webmail (https://legalpec.webmailpec.it) alla propria casella PEC e una volta eseguito l'accesso, cliccare dal menu su Impostazioni quindi su Preferenze e cliccare il link 'PEC - Report Email giornaliero' presente nel sottomenu Sezione.
In questa pagina basterà inserire l'indirizzo email ordinario (non PEC) dove ricevere il report giornaliero, selezionare l'orario e confermare sul pulsante Salva.
La email con il Report verrà inviata in caso di ricezione di qualsiasi messaggio nelle ultime 24 ore, indipendentemente dalla sua tipologia. Il report contiene il numero dei messaggi ricevuti raggruppato per tipologia ed il dettaglio delle buste di trasporto.
In caso non pervenga nessun messaggio nelle ultime 24 ore, il Report non sarà inviato.
___________________________________________________________________________________________________________________________________
Se nonostante quando indicato volete comunque eseguire tale modifica, per evitare che la nuova password non venga accettata dal sistema, rammentate che la nuova password deve avere un minimo di 12 e un massimo di 15 caratteri alfanumerici e tra questi ci devono essere almeno un carattere maiuscolo, un numero e un carattere speciale incluso tra i seguenti _.-?#+;:!@
Un'altra cosa importante da rammentare sempre è che la password, così come tutte le password che utilizzate, deve essere custodita con cura e non di certo all'interno del proprio PC in quanto i pirati informatii, aiutati anche da programmi che "viaggiano" nella posta ordinaria (tipo virus, trojan, ecc.), possono carpire questi importanti dati e poi utilizzarli per i loro scopi.
In ultimo, per coloro che utilizzano la sola webmail per leggere e mantenere i propri messaggi certificati, rammentiamo che saltuariamente o frequentemente, molto dipende dalla mole di messaggi, è necessario provvedere a scaricare i 2 messaggi più importanti della PEC (ACCETTAZIONE e CONSEGNA) e provvedere alla loro cancellazione una volta salvatii ed archiviati, in modo da recuperare spazio per i nuovi messaggi in arrivo evitando così la loro perdita in caso di spazio insufficente per la giacenza all'interno del server.
Per scaricare ed archiviare questi importanti file seguite le istruzioni che trovate CLICCANDO QUI.
4) COME VISUALIZZARE LE FATTURE ELETTRONICHE PERVENUTE NELLA WEBMAIL
Le fatture elettroniche inviate dal Sistema di Interscambio dell'Agenzia delle Entrate che pervengono nella vostra casella certificata vengono evidenziate con questa icona 
in modo da individuarle subito appena si apre la pagina principale della webmail.
A questo punto per visualizzare il contenuto della fattura cliccare sull'icona del file da visualizzare.
Adesso per visualizzare la fattura cliccare come da immagine seguente, sul link Visualizza Fattura.
Nota: alla destra di Visualizza Fattura si trova un menu a discesa con 2 opzioni le quali permettono di visualizzazione la fattura in 2 differenti stili.
in modo da individuarle subito appena si apre la pagina principale della webmail.A questo punto per visualizzare il contenuto della fattura cliccare sull'icona
del file da visualizzare.Adesso per visualizzare la fattura cliccare come da immagine seguente, sul link Visualizza Fattura.
Nota: alla destra di Visualizza Fattura si trova un menu a discesa con 2 opzioni le quali permettono di visualizzazione la fattura in 2 differenti stili.
AVVERTENZA: non sempre tramite la piattaforma webmail è possibile visualizzare il contenuto della fattura come abbiamo indicato sopra, però in entrambi i casi, cioè sia che sia visibile e sia che non lo sia, è sempre possibile procedere al download del file allegato con estensione .xml.P7M(*) che contiene la fattura elettronica in modo da poterlo inviare, cosi come è stato scaricato, al proprio commercialista il quale avrà tutti i software necessari per poter aprire, leggere e quindi registrare la fattura stessa.
(*) Il file con estensione .xml.p7m significa che è stato firmato digitalmente con firma Cades; per aprirlo è necessario installare sul proprio computer un apposito software di facile reperibilità sul web sia a pagamento che gratuitamente (licenza open source). Il file xml ottenuto dopo aver "decifrato" la firma potrà essere agevolmente visualizzato.
(*) Il file con estensione .xml.p7m significa che è stato firmato digitalmente con firma Cades; per aprirlo è necessario installare sul proprio computer un apposito software di facile reperibilità sul web sia a pagamento che gratuitamente (licenza open source). Il file xml ottenuto dopo aver "decifrato" la firma potrà essere agevolmente visualizzato.
5) COME SCARICARE GLI ALLEGATI DALLA WEBMAIL
Per scaricare un allegato o una fattura elettronica dalla webmail, dopo aver fatto un doppio click nella riga del messaggio si apre il suo contenuto. Sulla destra sono elencati tutti gli allegati disponibili in quel messaggio. Per scaricare il file di una fattura elettronica, una volta individuata la sua estensione finale (.xml.P7M) come da immagine 1, cliccare sulla freccia come da immagine 2 e nel piccolo menu che si apre selezionare la voce Download. Alla richiesta selezionare dove salvare il file e confermare. La stessa operazione vale anche per altre tipologie di download.
Per scaricare un allegato o una fattura elettronica dalla webmail, dopo aver fatto un doppio click nella riga del messaggio si apre il suo contenuto. Sulla destra sono elencati tutti gli allegati disponibili in quel messaggio. Per scaricare il file di una fattura elettronica, una volta individuata la sua estensione finale (.xml.P7M) come da immagine 1, cliccare sulla freccia come da immagine 2 e nel piccolo menu che si apre selezionare la voce Download. Alla richiesta selezionare dove salvare il file e confermare. La stessa operazione vale anche per altre tipologie di download.
6) COME CREARE DELLE CARTELLE PERSONALIZZATE NELLA WEBMAIL
All'interno della webmail è possibile creare delle nuove cartelle per personalizzare la posta certificata che riceverete, in modo da poter fare degli archivi divisi per argomenti.
Per fare le cartelle personalizzare seguire le indicazioni presenti nella seguente immagine:
1) cliccare su Impostazioni > 2) cliccare Cartelle > 3) cliccare sull'icona + e nel riquadro 4) inserire il nome della cartella. Una volta creata la cartella, per fare in modo che questa sia visibile nella Home della webmail è necessario abilitare il check come al punto 5).
Per fare le cartelle personalizzare seguire le indicazioni presenti nella seguente immagine:
1) cliccare su Impostazioni > 2) cliccare Cartelle > 3) cliccare sull'icona + e nel riquadro 4) inserire il nome della cartella. Una volta creata la cartella, per fare in modo che questa sia visibile nella Home della webmail è necessario abilitare il check come al punto 5).
Una volta che avete ricevuto un messaggio e lo volete spostare nella cartella personalizzata, è sufficiente cliccare con il tasto destro sul messaggio da spostare e selezionare la voce AZIONI, quindi nel nuovo menu che si apre selezionare SPOSTA IN e quindi, sempre con il mouse, indicare la cartella dove verrà spostato il messaggio.
7) COME ELIMINARE O SVUOTARE LE CARTELLE PERSONALIZZATE DALLA WEBMAIL
In qualsiasi momento potete eliminare o svuotare le cartelle personalizzate che avete creato, per farlo seguire la seguente immagine:
1) cliccare su Impostazioni > 2) cliccare Cartelle > 3) cliccare ed evidenziare la cartella da cancellare o da svuotare > 4) cliccare nell'icona ingranaggio e si apre il menu 5) dove scegliere l'operazione da eseguire.
8) PROBLEMI RISCONTRABILI NELL'UTILIZZO DELLA WEBMAIL PER INVIARE DEI MESSAGGI CON ALLEGATI
A seguito di alcune segnalazioni da parte di alcuni utenti sul mancato caricamento di allegati nella piattaforma Webmail qui di seguito vi indichiamo come risolvere in modo veloce il problema nel caso vi capitasse.
Iniziamo col dirvi che le cause da imputare a questo problema sono sostanzialmente due:
1) mentre si esegue un upload di uno o più file, quindi caricare dei file dal vostro PC verso il server che gestisce la Webmail (la cui velocità è sempre inferiore rispetto alla velocità fornita per il download) può capitare, anche se raramente, che a causa di una breve caduta della portante di connessione ad internet, quasi impercettibile, infatti basta anche mezzo secondo, che quando normalmente si naviga o si scarica la posta neanche ci si accorge e non crea nessun problema, mentre, purtroppo, in caso di upload di file, delle volte anche molto "pesanti" di peso (di diversi MB), questa breve caduta della portante crea l'impossibilità di portare a termine il caricamento del file che si stava in quel momento caricando facendo rimanere aperta sul server della Webmail la porta utilizzata per l'upload, quindi a seguito di un nuovo tentativo, difficilmente sarà possibile concludere l'operazione in quanto la porta è rimasta aperta, quindi è momentaneamente bloccata;
2) quando vi collegate alla Webmail, le macchine (server) utilizzate per questa operazione sono diverse, quindi può capitare di accedere casualmente ad un server che in quel momento è troppo carico perchè ci sono molti utenti o perchè sta eseguendo delle operazioni interne che lo stanno rallentando.
La soluzione più efficace in questi casi è la seguente:
quando state caricando l'allegato o al termine dell'upload stesso vi appare l'avviso che vi avverte che non è possibile inviare il messaggio vi consigliamo di cliccare sul pulsante in alto sulla sinistra "Annulla" e confermare di annullare l'invio.
Cosi facendo sarete riportati nella schermata della Posta in arrivo nella quale, senza uscire dalla Webmail, dovrete cliccare su "Nuova Mail".
In questo modo sarete riconnessi automaticamente ad un nuovo server e potrete caricare l'allegato risolvendo cosi i due problemi indicati sopra perchè:
In questo modo sarete riconnessi automaticamente ad un nuovo server e potrete caricare l'allegato risolvendo cosi i due problemi indicati sopra perchè:
A) il nuovo server sarà sicuramente meno carico di lavoro del precedente;
B) il nuovo server non avrà la porta per l'upload bloccata dal precedente tentativo.
Esiste comunque anche un'altra soluzione ed è quella di chiudere correttamente tutte le pagine della Webmail dal vostro browser, quindi attendere alcuni minuti (almeno 15/30) e poi riprovare. Cosi facendo si ha la possibilità di accedere alla piattaforma Webmail che si trova in un altro server rispetto al server che avevate caricato in random in precedenza oppure, in caso di accesso allo stesso server utilizzato precedentemente, di trovarlo però regolarmente sbloccato quindi di nuovo disponibile ad eseguire l'upload dei file.
9) MESSAGGIO DI AVVISO RELATIVO ALLA PROTEZIONE CONTRO CSRF O XSRF
Maggiori informazioni relativi alla comparsa di questo avviso quando ci si collega alla webmail:
Maggiori informazioni relativi alla comparsa di questo avviso quando ci si collega alla webmail:
La segnalazione da parte del sistema di questo errore si verifica quando un utente che è uscito dalla webmail senza cliccare nella funzione "ESCI o LOGOUT" cerca di rientrare nella webmail eseguendo un nuovo login.
Il motivo dell'apparizione dell'avviso è molto semplice, infatti non chiudendo regolarmente la webmail, al successivo tentativo di accesso, se questo avviene prima che sia terminata la sessione da noi programmata, il programma, grazie ai cookie e alla cache, trovando in memoria i dati di accesso inseriti in precedenza i quali, causa la precedente uscita non eseguita correttamente, risultano ancora attivi, non permette un nuovo accesso ed il sistema fa apparire l'avviso in questione.
Il motivo dell'apparizione dell'avviso è molto semplice, infatti non chiudendo regolarmente la webmail, al successivo tentativo di accesso, se questo avviene prima che sia terminata la sessione da noi programmata, il programma, grazie ai cookie e alla cache, trovando in memoria i dati di accesso inseriti in precedenza i quali, causa la precedente uscita non eseguita correttamente, risultano ancora attivi, non permette un nuovo accesso ed il sistema fa apparire l'avviso in questione.
Per evitare la comparsa di questo avviso, raccomandiamo pertanto, ma non solo per l'utilizzo della nostra webmail, ma anche per altri accessi (specialmente nei Home Banking), di eseguire SEMPRE IL LOGOUT quando si esce dai programmi in cui per accedere si deve fare un login evitando assolutamente di uscire da tali programmi cancellando la pagina cliccando sulla X del browser, in quanto cosi facendo, anche se apparentemente sembra che si esca correttamente dal sito, invece nella realtà, anche se il sito non si vede più, SI E’ LASCIATA APERTA LA SESSIONE DI LAVORO.
Una sessione normalmente ha una durata variabile da 15 a 60 minuti ma in alcuni casi anche una settimana o più, dove, se la sessione rimane aperta, potrebbe creare grossi problemi di sicurezza.
Per risolvere il problema e resettare l’errore in memoria nel browser basta accedere al link pulito della webmail: https://legalpec.webmailpec.it/.
Diversamente si può cambiare browser o rimuovere la cronologia cache e cookie del browser attualmente in uso.
Qui di seguito alcune indicazioni a riguardo:
COS’E’ il CSRF o XSRF:
oltre allo SPEAR PHISHING, che al momento è certamente quello più conosciuto, uno strumento attualmente molto in voga fra i cybercriminali è il CROSS SITE REQUEST FORGERY (CSRF o XSRF) che in italiano si può indicare come "falsificazione di richiesta inviata da un sito a un altro". Con questo metodo, gli hacker riescono ad esempio a far partire bonifici verso conti sconosciuti tramite online banking. Ma come funziona esattamente questo metodo d’attacco? E come ci si può proteggere?
DESCRIZIONE FUNZIONAMENTO:
supponiamo che un utente abbia eseguito il login a una piattaforma online. Dopo il login, l’utente può rimanere collegato per tutta la durata della sessione senza dover immettere nuovamente la password (questo tempo di durata della sessione viene gestito in modo molto diverso da sito a sito). Questa situazione può essere sfruttata dai criminali informatici: nella maggior parte dei casi, gli utenti collegati possono infatti eseguire più azioni e di più ampia portata rispetto agli utenti non collegati.
Il principio del CSRF (CROSS SITE REQUEST FORGERY) spiegato in breve: mentre l’utente è collegato al portale perchè non è uscito correttamente utilizzando l’appropriato LOGOUT, potrebbe continuare a navigare e visitare un altro sito web creato da un eventuale hacker oppure cliccare in qualche link presente in un messaggio di posta che ha ricevuto.
Facendo questa semplice operazione, l’utente pensa di aver eseguito un’azione qualunque, invece, proprio a seguito di questa azione, l’hacker invia una richiesta HTTP al portale utilizzato precedentemente dall’utente e, camuffato con l’identità di quest’ultimo, esegue un’azione dannosa sfruttando il fatto che la sessione è ancora attiva. Per poter raggiungere il suo obiettivo, l’hacker deve soltanto conoscere la richiesta HTTP corretta che, tuttavia, è abbastanza semplice da individuare.
Facendo questa semplice operazione, l’utente pensa di aver eseguito un’azione qualunque, invece, proprio a seguito di questa azione, l’hacker invia una richiesta HTTP al portale utilizzato precedentemente dall’utente e, camuffato con l’identità di quest’ultimo, esegue un’azione dannosa sfruttando il fatto che la sessione è ancora attiva. Per poter raggiungere il suo obiettivo, l’hacker deve soltanto conoscere la richiesta HTTP corretta che, tuttavia, è abbastanza semplice da individuare.
Il server del portale riconosce la richiesta HTTP come formulata correttamente e, leggendo i cookie corrispondenti, rileva che l’utente è ancora collegato. Il server esegue l’azione e l’utente non può accorgersi che è appena stata effettuata un’operazione a suo nome.
L’attacco CSRF ha quindi successo perché il server ricevente non verifica la provenienza della richiesta. Il server non riesce nemmeno a sapere se la richiesta HTTP è stata generata tramite il proprio sito web o da un’origine esterna. L’autore dell’attacco sfrutta pertanto una debolezza del browser: quest’ultimo, infatti, inoltra le richieste senza valutare le conseguenze.
CONSIGLIO
Navigare sempre con molta cautela.
L’utente, da parte sua, è tenuto a usare cautela: chi non visita siti web dubbi o apre e-mail e clicca su link sospetti, difficilmente cade vittima di questo tipo di attacco. Per proteggersi dal CSRF è buona norma ricordarsi di terminare sempre le sessioni attive sui portali rilevanti per la sicurezza prima di visitare siti web della cui reputazione non si è certi.
Verificare la presenza di malware sul proprio terminale.
E’ buona norma accertarsi sempre che il proprio dispositivo (PC, notebook, smartphone, ecc.) non contenga malware. Se è presente un’applicazione che funziona in background e spia l’utente, risulta molto più difficile impedire il CSRF. Nel caso in cui il dispositivo del cliente sia già infettato, è possibile cadere vittima di altre tecniche di attacco.
Protezione con autenticazione a due fattori.
Ultimamente nelle piattaforme Home Banking, per evitare questo problema, è stata prevista un’autenticazione a due fattori: infatti prima di poter eseguire un bonifico, gli utenti devono immettere un TAN che non viene fornito tramite il sito web. Questa tecnica protegge non solo dagli attacchi CSRF, ma anche da altri attacchi. Con questa soluzione, anche nel caso in cui l’hacker sia riuscito a spiare i dati di accesso, non potrà eseguire trasferimenti di denaro finché non indicherà il secondo fattore, che essendo inviato all’esterno del sito web, non potrà facilmente individuare.