Le moderne soluzioni anti-phishing e anti-spam si basano sempre più su una varietà di tecnologie di apprendimento automatico. L’uso di reti neurali per analizzare i testi rende difficile ingannare questi meccanismi, ed è per questo che i cybercriminali si sono rivolti verso un trucco semplice ma efficace: inserire il testo in un’immagine. Successivamente, aggiungono l’immagine al corpo del messaggio usando la codifica Base64 (generalmente, le immagini nei messaggi di posta elettronica sono ospitate su un sito web esterno e i client di posta non caricano le immagini delle e-mail provenienti dall’esterno dell’azienda). La maggior parte di queste e-mail vanno alla caccia delle credenziali di accesso a Microsoft Office 365.
L’e-mail di phishing in questione
Un’e-mail di phishing di questo tipo è fondamentalmente un’immagine su uno sfondo bianco (in questo si confonde con l’interfaccia predefinita di Outlook). Ecco qui un esempio di quanto stiamo parlando:
Come sempre, dobbiamo considerare se ogni elemento del messaggio è appropriato, nella norma e plausibile. Non c’è alcuna ragione legale per cui il formato di questa (o di una qualsiasi altra) e-mail debba essere un’immagine. In particolare, le e-mail generate automaticamente come le verifiche di account usano del testo. Controllare se l’e-mail è un’immagine o un testo è semplice: passate sopra un collegamento ipertestuale o un pulsante e verificate se il cursore del mouse cambia, con un testo normale lo farà. In questo caso, invece, cliccando su qualsiasi punto dell’immagine si aprirà il collegamento ipertestuale perché l’URL di destinazione è collegato all’immagine, quindi in pratica l’intera immagine è un pulsante/collegamento ipertestuale.
Se vi resta ancora qualche dubbio, provate a evidenziare una parte del testo o a ridimensionare la finestra del vostro programma di posta. Se si tratta di un’immagine, non sarete in grado di evidenziare alcuna parola e il ridimensionamento della finestra non causerà l’adattamento o il cambiamento della lunghezza delle righe di testo.
Lo stile generale della e-mail non conferisce maggiore credibilità: i caratteri e l’interlinea variano, l’uso della punteggiatura è improprio e il linguaggio è inusuale. Sono tutti segnali di una probabile truffa. Certo, le persone commettono errori, ma i template di Microsoft tendono a non averne. Se vi accorgete di così tanti errori evidenti in un’e-mail, molto probabilmente si tratta di phishing.
Un’ultima cosa: la pretesa che l’account debba essere verificato entro 48 ore dovrebbe farvi suonare un ulteriore campanello d’allarme. I truffatori spesso cercano di mettere fretta agli utenti affinché compiano azioni avventate.
Il sito di phishing
Mettendo da parte l’e-mail, nemmeno il sito a cui si riferisce sembra convincente. Un sito legale appartenente a Microsoft dovrebbe essere ospitato su un dominio Microsoft; tuttavia, il banner “Create your website with WordPress.com” evidenzia chiaramente che il sito è stato costruito utilizzando la piattaforma di hosting gratuita WordPress.
Nel complesso, un sito web di questo tipo assomiglia a uno vero, ma di 25 anni fa forse. Ecco la moderna pagina di accesso ai servizi Microsoft, affinché possiate fare un confronto: https://login.microsoftonline.com/.
Come difendervi
Una soluzione di sicurezza affidabile rileva le e-mail di phishing basandosi su diversi fattori, non solo sulla mera analisi del testo. Raccomandiamo quindi di utilizzare meccanismi moderni di protezione della posta come quelli offerti da Kaspersky Security for Microsoft Office 365.
Ogni postazione di lavoro dei dipendenti e ogni dispositivo connesso ha bisogno anche di sicurezza aggiuntiva, che farà da ulteriore barriera contro il phishing e altri trucchi.
Infine, non dimenticate di fomentare una maggiore consapevolezza tra i dipendenti delle best practices di sicurezza informatica attraverso una adeguata formazione. Se il personale è a conoscenza dei metodi più moderni impiegati dai cybercrminali, è meno probabile che cadano nella trappola del phishing.
Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it