Furto delle credenziali di accesso di Office 365: il phishing nelle immagini

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 15/06/2021
 
 
Per aggirare i meccanismi di analisi dei testi, i criminali informatici ora diffondono le e-mail di phishing attraverso le immagini. Ecco come evitare questo pericolo.
 

Le moderne soluzioni anti-phishing e anti-spam si basano sempre più su una varietà di tecnologie di apprendimento automatico. L’uso di reti neurali per analizzare i testi rende difficile ingannare questi meccanismi, ed è per questo che i cybercriminali si sono rivolti verso un trucco semplice ma efficace: inserire il testo in un’immagine. Successivamente, aggiungono l’immagine al corpo del messaggio usando la codifica Base64 (generalmente, le immagini nei messaggi di posta elettronica sono ospitate su un sito web esterno e i client di posta non caricano le immagini delle e-mail provenienti dall’esterno dell’azienda). La maggior parte di queste e-mail vanno alla caccia delle credenziali di accesso a Microsoft Office 365.

L’e-mail di phishing in questione

Un’e-mail di phishing di questo tipo è fondamentalmente un’immagine su uno sfondo bianco (in questo si confonde con l’interfaccia predefinita di Outlook). Ecco qui un esempio di quanto stiamo parlando:

Imitazione di una e-mail generata automaticamente.

Come sempre, dobbiamo considerare se ogni elemento del messaggio è appropriato, nella norma e plausibile. Non c’è alcuna ragione legale per cui il formato di questa (o di una qualsiasi altra) e-mail debba essere un’immagine. In particolare, le e-mail generate automaticamente come le verifiche di account usano del testo. Controllare se l’e-mail è un’immagine o un testo è semplice: passate sopra un collegamento ipertestuale o un pulsante e verificate se il cursore del mouse cambia, con un testo normale lo farà. In questo caso, invece, cliccando su qualsiasi punto dell’immagine si aprirà il collegamento ipertestuale perché l’URL di destinazione è collegato all’immagine, quindi in pratica l’intera immagine è un pulsante/collegamento ipertestuale.

Se vi resta ancora qualche dubbio, provate a evidenziare una parte del testo o a ridimensionare la finestra del vostro programma di posta. Se si tratta di un’immagine, non sarete in grado di evidenziare alcuna parola e il ridimensionamento della finestra non causerà l’adattamento o il cambiamento della lunghezza delle righe di testo.

Lo stile generale della e-mail  non conferisce maggiore credibilità: i caratteri e l’interlinea variano, l’uso della punteggiatura è improprio e il linguaggio è inusuale. Sono tutti segnali di una probabile truffa. Certo, le persone commettono errori, ma i template di Microsoft tendono a non averne. Se vi accorgete di così tanti errori evidenti in un’e-mail, molto probabilmente si tratta di phishing.

Un’ultima cosa: la pretesa che l’account debba essere verificato entro 48 ore dovrebbe farvi suonare un ulteriore campanello d’allarme. I truffatori spesso cercano di mettere fretta agli utenti affinché compiano azioni avventate.

Il sito di phishing

Mettendo da parte l’e-mail, nemmeno il sito a cui si riferisce sembra convincente. Un sito legale appartenente a Microsoft dovrebbe essere ospitato su un dominio Microsoft; tuttavia, il banner “Create your website with WordPress.com” evidenzia chiaramente che il sito è stato costruito utilizzando la piattaforma di hosting gratuita WordPress.

 

Pessima imitazione di una pagina web Microsoft.

 

Nel complesso, un sito web di questo tipo assomiglia a uno vero, ma di 25 anni fa forse. Ecco la moderna pagina di accesso ai servizi Microsoft, affinché possiate fare un confronto: https://login.microsoftonline.com/.

Come difendervi

Una soluzione di sicurezza affidabile rileva le e-mail di phishing basandosi su diversi fattori, non solo sulla mera analisi del testo. Raccomandiamo quindi di utilizzare meccanismi moderni di protezione della posta come quelli offerti da Kaspersky Security for Microsoft Office 365.

Ogni postazione di lavoro dei dipendenti e ogni dispositivo connesso ha bisogno anche di sicurezza aggiuntiva, che farà da ulteriore barriera contro il phishing e altri trucchi.

Infine, non dimenticate di fomentare una maggiore consapevolezza tra i dipendenti delle best practices di sicurezza informatica attraverso una adeguata formazione. Se il personale è a conoscenza dei metodi più moderni impiegati dai cybercrminali, è meno probabile che cadano nella trappola del phishing.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

16 Giugno 2021

Trucchi di phishing con Microsoft Office

Tratto da Blog Kaspersky
Autore: Roman Dedenok – 22/04/2021
 
 
Se in un’e-mail vi chiedono di accedere al vostro account MS Office, ecco cosa dovreste fare
 
 
 

 

Con l’accesso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise). Ecco perché vediamo così tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, è molto importante sapere a cosa prestare attenzione.

I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novità. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre più sofisticati. In questo post analizzeremo un caso reale, un’e-mail che abbiamo ricevuto per davvero e che ci servirà per parlare delle best practices da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.

Nuovo trucco di phishing: l’allegato HTML

Un’e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l’aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull’URL, visualizzeremo l’indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo è quello di automatizzare il reindirizzamento.

Cliccando sull’allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l’indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.

Cosa cercare in un’e-mail di phishing

Nuove tattiche a parte, il phishing è sempre phishing, quindi dobbiamo partire dall’e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:

 

Un'e-mail di phishing

Prima di cliccare sull’allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:

  1. Conoscete il mittente? È probabile che il mittente vi lasci un messaggio vocale al lavoro?
  2. È pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d’oggi, e poi Microsoft 365 non supporta più la posta vocale da gennaio 2020;
  3. Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l’app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;
  4. L’allegato ha le sembianze di un file audio? Voice Recorder può condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed è custodita su un server, dovreste ricevere un link e non un allegato.

In sintesi: abbiamo un’e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.

Come riconoscere una pagina di phishing

Supponiamo che abbiate cliccato su quell’allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?

 

Una pagina web di phishing

 

Ecco a cosa bisogna prestare attenzione:

  1. Quanto visualizzato nella barra degli indirizzi ha l’aspetto di un indirizzo Microsoft?
  2. I link “Non riesci ad accedere al tuo account?” e “Accedi con una chiave di sicurezza” vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);
  3. Vi convince ciò che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell’immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l’allarme;

In ogni caso, se avete qualche dubbio, andate su https://login.microsoftonline.com/ per verificare come appare la vera pagina di accesso di Microsoft.

Come non cadere nella trappola

Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:

  • State sempre all’erta. Le nostre domande di questo post vi aiuteranno a evitare le forme più semplici di phishing.
  • Proteggete le caselle di posta dei dipendenti con una soluzione specifica per Office 365, per smascherare i tentativi di phishing che sfruttano link o file HTML in allegato, e avvaletevi di una protezione per endpoint che impedisca l’accesso a siti di phishing.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

23 Aprile 2021