Proteggi l’azienda dagli attacchi di phishing

Tratto da Blog Veeam
Autore: Gil Vega – 21/04/2022
 

Lo sapevi che oltre il 90% di tutti gli attacchi e delle violazioni di dati andati a segno iniziano con una truffa di tipo phishing? Sai cos’è il phishing e come proteggere la tua azienda da questo tipo di attacchi?

Le truffe di phishing sono tentativi da parte dei criminali informatici di indurre gli utenti a eseguire un qualche tipo di azione come fare clic su un link, inserire credenziali, aprire un allegato o persino apportare modifiche al processo di un’azienda. Queste truffe sono più comunemente inviate come e-mail dannose, ma possono anche assumere altre forme. Possono celare un ransomware, causare l’installazione di software dannoso (virus, trojan, worm), il furto di credenziali, una sottrazione di denaro, la perdita di dati o persino il furto di identità. I phisher fanno leva su comportamenti comuni, come fidarsi di chi si conosce, per indurre le persone a fare qualcosa che normalmente non farebbero.

Metti a punto le difese

Se un phishing ha lo scopo di ingannarti, come puoi proteggere la forza lavoro? Sembra un bersaglio mobile, e in effetti lo è. Dato che i phisher oggi cambiano le proprie tattiche per ingannare le persone, è più importante che mai prepararsi in modo da poter essere sempre un passo avanti.

Puoi prepararti potenziando le difese tecniche e considerando la forza lavoro come un’estensione del team di sicurezza. Avere filtri antispam adeguati, un gateway e-mail sicuro e utilizzare protocolli di autenticazione e-mail standard (come DMARC, DKIM o SPF) e altre tecnologie sono tutti elementi chiave per impedire al phishing di entrare nelle caselle di posta, ma è inevitabile che prima o poi raggiunga qualcuno dei tuoi dipendenti. Ed è sufficiente un solo clic di un’unica persona per creare uno scompiglio tale da richiedere ai team di sicurezza di fare gli straordinari.

Non preferiresti che i dipendenti fossero pronti a riconoscere e segnalare un’e-mail di phishing invece di fare clic su di essa? Io sicuramente sì. Ecco perché metto al primo posto la formazione continua sulla sensibilizzazione alla sicurezza. Istruisci i dipendenti su cosa sono le truffe di phishing e su come identificarle. Se possibile, metti alla prova la loro capacità di identificarle e premiali quando le individuano. Incoraggia i dipendenti a segnalare e-mail sospette al team di sicurezza, e questa indicazione è ancora più efficace se hai predisposto un modo semplice per farlo. Non lasciare che il phishing o la sicurezza diventino un argomento trattato una volta all’anno, la conversazione deve essere continua.

Anatomia di un attacco di phishing

Una volta che ti sei impegnato a preparare la forza lavoro, devi capire chi devi affrontare. Come funziona il phishing e cosa cercano i phisher?

Il concetto alla base del phishing è semplice e non è una novità. Ricordi in passato di aver ricevuto una telefonata che ti comunicava di aver vinto un concorso, a cui non ricordavi di aver partecipato? Eri così entusiasta che hai comunicato al chiamante tutte le informazioni necessarie per ottenere il premio. Lo stesso concetto si applica oggi al phishing, solo che ora avviene tramite e-mail o un altro canale di comunicazione digitale.

I phisher non sono altro che degli “artisti della truffa”: sfruttano comportamenti umani, come fidarsi delle persone che conoscono, per indurle a fare qualcosa che normalmente non farebbero.

Didascalia grafica: Email inviata – Il destinatario cade nella trappola – Il destinatario compie l’azione attesa –
L’informazione viene sottratta o il computer è infettato

Ad esempio, un phisher invia un’e-mail a un destinatario. All’interno di questa e-mail sono disseminate delle esche per cercare di convincere il destinatario a intraprendere qualsiasi azione venga richiesta. Le e-mail di solito contengono collegamenti ipertestuali o allegati, ma non sempre. I collegamenti ipertestuali in genere puntano a falsi siti Web che richiedono determinate informazioni; alcuni possono anche impersonare aziende legittime. In genere, gli allegati contengono un qualche tipo di codice dannoso per infettare il computer o la rete del destinatario. Le e-mail che non lo contengono di solito chiedono al destinatario di rispondere o di chiamare un numero per condividere alcune informazioni di cui il mittente ha bisogno.

Se il destinatario cade in trappola, spesso non se ne rende conto. Pensa che sia tutto legittimo e che potrebbe anche accadere qualcosa di positivo, ma il phisher ha rubato le informazioni o il denaro o magari ha infettato il computer.

Diversi tipi di attacchi di phishing

Non tutti i phishing sono uguali. Esistono diversi tipi di phishing e devi preparare tutti i dipendenti a riconoscerli. Ecco alcuni dei più comuni:

Spear phishing

Lo spear phishing è una truffa mirata, destinata a un pubblico specifico. Non ricevi l’e-mail per caso. Il phisher ha condotto ricerche specifiche per trovarti e inviarti un messaggio che avrebbe senso per solo per te, forse perché fai parte del dipartimento delle risorse umane della tua azienda o magari hai recentemente pubblicato online la notizia della tua promozione.

Whaling

Il whaling è un tipo di spear phishing che si rivolge direttamente ai dirigenti di un’azienda, i “pesci grossi”. In genere, le informazioni sul team esecutivo di un’azienda sono pubbliche e facilmente reperibili sul relativo sito Web, rendendo queste persone dei facili bersagli. Inoltre, tendono ad avere accesso a informazioni sensibili e a prendere decisioni finanziarie, e questi aspetti li rendono un obiettivo redditizio per i phisher.

BEC e CEO Fraud, letteralmente “la truffa del CEO”

Il Business Email Compromise (BEC) e la CEO Fraud sono un’altra forma di spear phishing che cerca di impersonare la tua azienda o il suo CEO. Sapendo che le persone si fidano rapidamente di coloro che ricoprono posizioni di autorità, i phisher impersoneranno individui in grado di ottenere l’adempimento di una richiesta. I domini e-mail aziendali sono facili da falsificare e i loghi ufficiali sono reperibili online. Anche i nomi delle persone che lavorano nella tua azienda sono facilmente accessibili attraverso molti siti di social media. Questo rende facile per i phisher concentrarsi sul BEC.

Vishing

Il vishing è il phishing telefonico (sta per “phishing vocale”). Si tratta essenzialmente delle telefonate truffa che ricevi oggi e che probabilmente ricevevi anche prima di avere un computer in casa. Queste truffe tradizionali hanno successo perché ascoltare la voce di una persona aiuta a costruire una relazione con il chiamante. Questo rende più difficile per te non soddisfare le sue richieste.

Smishing / SMShing

Lo smishing, noto anche come SMShing, è costituito da messaggi di testo dannosi (sta per “SMS phishing”). Si tratta di versioni più brevi delle più tradizionali truffe di phishing e di solito contengono un collegamento ipertestuale abbreviato con un messaggio sintetico e mirato di sollecitazione a un’azione.

Consapevolezza del phishing: come si riconosce il phishing?

Una delle prime domande che viene spontaneo porre è questa: come faccio a sapere se qualcosa è un phishing? Potremmo addentrarci nelle modalità tecniche per valutare le intestazioni delle e-mail, tuttavia per gli utenti finali generici è necessaria una formazione su alcuni segnali di pericolo chiave. Ma, ancora più importante dei segnali di pericolo, è necessario ricordare loro che in caso di dubbi, dovrebbero seguire il protocollo e segnalare l’e-mail al team di sicurezza per ulteriori indagini, se sospettano un phishing. Ricorda: una buona dose di scetticismo non guasta mai.

Segnali di phishing 

Quali sono i segnali di pericolo? Ce ne sono molti e possono cambiare con l’evoluzione delle tattiche da parte dei phisher. In genere, se la forza lavoro nota una combinazione di uno qualsiasi di questi segnali di pericolo, dovrebbe procedere con estrema cautela:

  • Saluti o firme generici
  • Informazioni sul mittente o sull’azienda mancanti
  • Immagini pixelate o sfocate
  • Collegamenti a siti Web senza senso
  • Errori ortografici o grammaticali
  • Minacce o richieste urgenti
  • Offerte troppo belle per essere vere
  • Richieste di informazioni personali o di trasferimento di fondi, di spostamento di denaro o di modifica delle informazioni sui depositi diretti
  • E-mail o allegati inattesi​ 
  • Oggetto e messaggio non corrispondenti
  • Nessuna comunicazione di supporto

Non sei sicuro se un’e-mail è reale o di phishing? Segui questi passaggi: 

  1. Metti in pratica il protocollo. Cerca online informazioni sul presunto mittente. Puoi anche cercare l’e-mail esatta che hai ricevuto e vedere se altri l’hanno già etichettata come truffa.
  2. Conferma le richieste utilizzando un secondo metodo di verifica. Non inviare mai un’e-mail al mittente rispondendo all’e-mail originale. Utilizza un metodo di comunicazione separato, come un numero di telefono o un indirizzo e-mail da una fattura recente, per contattare il mittente e confermare la richiesta.
  3. Passa il mouse sui collegamenti nell’e-mail e verifica se l’indirizzo del collegamento ipertestuale corrisponde al dominio del sito web legittimo dell’azienda. Digita il collegamento ipertestuale nel browser se non sei sicuro; non fare clic sul collegamento stesso.
  4. Guarda il nome del file degli allegati. Valuta se erano previsti o se ne avevi bisogno. Non aprire mai un allegato inatteso o uno che termina con un’estensione che non riconosci (ad es. nomefile.exe quando afferma che è un documento Word).
  5. Usa il buonsenso. In molti casi, l’uso del buon senso può aiutarti a identificare se un’e-mail è legittima o se può essere di phishing.

Vieni indirizzato verso un sito web e non sei sicuro che sia legittimo? Segui questi suggerimenti: 

  • Usa una password falsa. Verifica se riconosce che la password inviata non è corretta (se il sito è falso e tenta di raccogliere password, non saprà che la password inviata non era corretta).  
  • Verifica l’indirizzo Web. Il nome dell’azienda nell’URL è scritto correttamente? L’indirizzo inizia con https invece di http? Solo perché inizia con https non significa che sia legittimo, significa solo che è una connessione sicura. Ma se non inizia con https, dovrebbe almeno essere un segnale d’avvertimento per non inserire alcuna informazione. Allo stesso modo, vedere un lucchetto chiuso o una chiave nella barra degli indirizzi non significa sempre che il sito è legittimo. Ma se non ne vedi, non inserire alcuna informazione.  
  • Fai caso ai pop-up. Se vai su un sito e sei assalito dagli annunci pop-up, sii prudente.   
  • Presta attenzione albranding. Il branding, ovvero l’aspetto generale del sito, corrisponde alle tue aspettative sull’azienda che stai cercando di visitare?

Cosa dovresti fare se la tua organizzazione è vittima un attacco di phishing?

Ricorda, le truffe di phishing sono progettate per ingannarti. Potresti aver implementato le migliori contromisure anti-phishing e i programmi di sensibilizzazione più completi, ma un utente potrebbe comunque essere vittima di una truffa di phishing. Succede. La cosa più importante è essere preparati a rispondere.

Considera questi passaggi di ripristino e collabora con i team di sicurezza informatica per creare una risposta appropriata e un piano di ripristino per la tua organizzazione:

Contieni la potenziale esposizione

Se un utente interagisce con un’e-mail di phishing dannosa, prova a isolare la macchina e assicurati che il team informatico ottenga l’accesso per indagare.

Cambia le password

Forza l’utente a cambiare la sua password. Se vengono utilizzate diverse password, si consiglia di cambiarle tutte poiché potresti non conoscere l’entità di ciò che è stato compromesso.

Segui il tuo processo di risposta agli incidenti

Un attacco di phishing è un tipo di incidente di sicurezza informatica. Segui i processi di risposta agli incidenti, che dovrebbero includere dei passaggi per identificare l’e-mail di phishing, individuarla nelle caselle di posta di altri utenti, rimuoverla da tali caselle di posta, indagare l’impatto e decidere i passi successivi di conseguenza.

Presta attenzione al malware

Utilizza gli strumenti di monitoraggio per scansionare il computer dell’utente e la rete alla ricerca di malware (software dannoso come virus, trojan o worm), attività sospette o anomalie.

Protezione personale

A seconda della natura dell’attacco di phishing, se ha divulgato informazioni personali, l’utente potrebbe voler impostare avvisi di frode presso gli enti di monitoraggio del credito appropriati. Se l’attacco di phishing ha falsificato o impersonato un’azienda reale, condividi tali informazioni con l’altra società in modo che possa avvisare anche gli altri utenti.

Dedica il tempo necessario alla formazione

Come per qualsiasi attacco informatico, la lezione appresa è spesso più preziosa dei dati che il criminale informatico ha sottratto. Mantieni un elenco delle lezioni apprese e valuta i processi e i controlli esistenti per determinare se potresti fare qualcosa di diverso. E aumenta ancora di più la consapevolezza del phishing negli utenti.

Le truffe di phishing sono il principale vettore di attacco alla sicurezza informatica dei criminali informatici che si affidano alla psicologia umana per convincere un destinatario a intraprendere un qualche tipo di azione. Anticipa questo tentativo mettendo a punto le tue difese e preparando i dipendenti a individuare il phishing.

21 Aprile 2022

Microsoft applica delle patch a più di 100 vulnerabilità

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 18/01/2022
 
 

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

 

 

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

  • CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
  • CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
  • CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

18 Gennaio 2022

Phishing mascherato da spam

 
Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 18/11/2021
 
 
Gli hacker stanno cercando di rubare le credenziali dalla posta aziendale inviando liste di e-mail di spam in quarantena
 
 

 

Cosa fate quando un’e-mail non richiesta arriva nella vostra casella di posta del lavoro? A meno che voi non siate un analista di spam, molto probabilmente la cancellate e basta. Paradossalmente, questo è esattamente ciò che alcuni phisher vogliono e, come risultato, ultimamente le nostre trappole di posta hanno visto sempre più e-mail che sembrano essere notifiche di messaggi ovviamente indesiderati.

 

Come funziona

I criminali informatici, contando sull’inesperienza degli utenti in materia di tecnologie antispam, inviano notifiche agli impiegati aziendali sulle e-mail che presumibilmente arrivano al loro indirizzo e sono messe in quarantena. Questi messaggi assomigliano a questo:

 

False notifiche sulle e-mail in quarantena.

 

La scelta dell’argomento è generalmente poco importante, i criminali informatici copiano semplicemente lo stile di altre pubblicità per beni e servizi non richiesti e forniscono pulsanti per cancellare o mantenere ogni messaggio. Fornisce anche un’opzione per eliminare tutti i messaggi in quarantena in una volta sola o per aprire le impostazioni della casella di posta. Gli utenti ricevono anche istruzioni visive:

 

Istruzioni visive inviate dai truffatori.

 

Qual è il trucco?

Naturalmente, i pulsanti non sono quello che sembrano. Dietro ogni pulsante e collegamento ipertestuale si trova un indirizzo che porta chi clicca a una finta pagina di login, che sembra l’interfaccia web di un servizio di posta:

 

Sito di phishing.

 

Il messaggio “Sessione scaduta” ha lo scopo di convincere l’utente ad accedere. La pagina ha uno scopo, ovviamente: raccogliere le credenziali di posta aziendale.

 

Indizi

Nell’e-mail, la prima cosa che dovrebbe attirare la vostra attenzione è l’indirizzo del mittente. Se la notifica fosse reale, dovrebbe provenire dal vostro server, che ha lo stesso dominio del vostro indirizzo di posta, non, come in questo caso, da una società sconosciuta.

Prima di cliccare qualsiasi link o pulsante su un messaggio, controllate dove vi reindirizzano, passando sopra il cursore del mouse. In questo caso, lo stesso link è collegato in tutti gli elementi attivi, e porta a un sito web che non ha alcuna relazione né con il dominio del destinatario né con quello ungherese del mittente. Questo include il pulsante che presumibilmente invia una “richiesta HTTP per togliere tutti i messaggi dalla quarantena”. Lo stesso indirizzo dovrebbe servire come campanello d’allarme sulla pagina di login.

 

Come evitare lo spam e phishing

Per evitare di abboccare all’amo, gli utenti aziendali devono avere familiarità con il playbook di base del phishing.

Uno strumento online di facile gestione che sviluppa livello per livello le competenze dei dipendenti in materia di cybersecurity è la Piattaforma Kaspersky Automated Security Awareness (ASAP).

Naturalmente, è meglio prevenire gli incontri tra gli utenti finali e le e-mail pericolose e i siti web di phishing in primo luogo. Per questo, occorre usare soluzioni antiphishing sia a livello di mail server che sui computer degli utenti.

Per ulteriori informazioni sulle soluzioni antiphishing e sulla Piattaforma ASAP di Kaspersky: dircom@argonavis.it

19 Novembre 2021

Mail di spam con numeri di vishing

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 09/08/2021
 
 

Avete ricevuto un’e-mail di conferma per un acquisto che non avete fatto e che contiene un numero di telefono per contattare l’azienda? Attenzione, si tratta di vishing.

 
 
 
 
 

Con la quantità colossale di truffe telefoniche in circolazione di questi tempi, è difficile trovare un proprietario di un numero di telefono, in qualsiasi parte del pianeta, che non sia stato almeno una volta bersaglio dei truffatori. Ma come tutte le forme di quelle che vengono denominate “chiamate a freddo”, anche per le truffe telefoniche sono necessarie molte risorse e spesso non portano a risultati. Per questo motivo, alcuni truffatori hanno cercato di ottimizzare il processo, facendo sì che siano le potenziali vittime a chiamare. E per farlo, si servono del caro, vecchio spam.

“Se non avete effettuato questo acquisto, chiamateci”

Abbiamo rilevato di recente diverse ondate di e-mail di spam, apparentemente da aziende rispettabili, che notificano ai destinatari l’avvenuta transazione per acquisti considerevoli. L’oggetto in questione è di solito un dispositivo di gamma alta come l’ultimo Apple Watch o un computer portatile per il gaming, acquistato su Amazon o pagato tramite PayPal.

 

 

False conferme di acquisto su PayPal/Amazon con numeri di telefono di vishing.

Di tanto in tanto spuntano varianti più originali. Per esempio, abbiamo rilevato un’e-mail riguardo l’acquisto di “Criptovaluta (Bitcoin)” per il valore di 1.999 dollari:

 

 

Finta notifica PayPal, che acclude  il numero di telefono dei truffatori, di un acquisto di una voce denominata “criptovaluta (Bitcoin)”.

Altre notifiche simili menzionano l’acquisto di licenze di software di sicurezza, ne abbiamo viste alcune che si riferiscono a Norton e persino a Kaspersky (anche se la nostra linea di prodotti non ha mai incluso un software che si chiamasse “Kaspersky Total Protection”).

 

 

False notifiche sull’acquisto di licenze Norton e “Kaspersky Total Protection” con numeri di telefono di vishing.

La truffa si basa sulla speranza che i destinatari, allarmati per la perdita di una somma considerevole di denaro, agiscano in modo avventato per poter recuperare i propri soldi.

Naturalmente, il denaro in questione non è andato da nessuna parte, almeno non ancora. Questo particolare tipo di e-mail di spam non contiene link, ma include un numero di telefono che la vittima è invitata a chiamare se vuole modificare o annullare l’ordine. A volte il numero si trova discretamente da qualche parte in fondo al testo, altre volte è evidenziato in rosso e ripetuto più volte nel messaggio.

Cosa succede se chiamate? Molto probabilmente i truffatori cercheranno di strapparvi le credenziali di accesso a qualche servizio finanziario o i dati della vostra carta di credito. In alternativa, potrebbero cercare di indurvi a trasferire del denaro o persino a installare un Trojan sul vostro computer, cosa che è già successa. Gli unici limiti sono l’immaginazione e le abilità di vishing dei truffatori.

Come difendersi da e-mail di questo tipo

I dettagli possono cambiare, ma tutte le truffe hanno alcuni elementi in comune: l’uso di uno stratagemma per convincere qualcuno a fare qualcosa. Il vishing non è diverso. Seguite queste linee guida per la sicurezza per dormire sonni tranquilli:

  • Non richiamate;
  • Accedete al vostro account del servizio coinvolto, digitando l’indirizzo nel vostro browser. Non cliccate su nessun link nel messaggio e controllate i vostri ordini o la pagina delle attività recenti;
  • Esaminate il vostro saldo e l’elenco delle transazioni recenti su tutte le vostre carte, soprattutto se individuate motivi per preoccuparvi;
  • Installate una soluzione antivirus affidabile, che vi protegga da attacchi di questo tipo, dal phishing e dalle truffe online.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

 

31 Agosto 2021

Phishing attraverso Google Apps Script

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 28/07/2021
 
 
Alcuni truffatori si servono di Google Apps Script per il reindirizzamento, evitando che i server di posta blocchino i link di phishing
 
 

 

Per rubare le credenziali delle e-mail aziendali dei dipendenti, i criminali informatici devono prima superare le soluzioni anti-phishing presenti sui server di posta elettronica aziendali. Di regola, si avvalgono di servizi web legittimi in modo da evitare di farsi notare; e, sempre più spesso, si servono di Google Apps Script, una piattaforma di scripting basata su JavaScript.

Cos’è Apps Script e come viene sfruttata dai cybercriminali?

Apps Script è una piattaforma basata su JavaScript per automatizzare le attività all’interno dei prodotti Google (ad esempio, per la creazione di componenti aggiuntivi per Google Docs), così come in applicazioni di terze parti. Essenzialmente, si tratta di un servizio per creare script ed eseguirli all’interno dell’infrastruttura di Google.

Nel phishing via e-mail, i cybercriminali utilizzano questo servizio per i reindirizzamenti. Invece di inserire l’URL di un sito web dannoso direttamente in un messaggio, i criminali informatici possono inserire un link a uno script. In questo modo, possono bypassare le soluzioni anti-phishing a livello di server di posta: un collegamento ipertestuale a un sito legittimo di Google con una buona reputazione supera la maggior parte dei filtri. Come vantaggio secondario per i criminali informatici, i siti di phishing non rilevati possono rimanere attivi più a lungo. Questo stratagemma conferisce ai cybercriminali la flessibilità di cambiare lo script se necessario (nel caso in cui le soluzioni di sicurezza rilevino il trucco) e di sperimentare con la consegna dei contenuti (ad esempio, reindirizzando le vittime su diverse versioni del sito a seconda della regione di appartenenza).

Esempio di una truffa tramite Google Apps Script

Tutto quello che i cybercriminali devono fare è convincere l’utente a cliccare su un link. Di recente, il pretesto più comune riguardava la “casella di posta piena”. In teoria, sembra plausibile.

 

 

Una tipica e-mail di phishing riguardante una fantomatica casella di posta piena.

I cybercriminali di solito lasciano segni per smascherare la truffa e che dovrebbero essere evidenti anche agli utenti che non hanno familiarità con le notifiche reali:

  • L’e-mail proviene apparentemente da Microsoft Outlook, ma l’indirizzo e-mail del mittente ha un dominio diverso. Una vera notifica su una casella di posta piena dovrebbe provenire dal server Exchange interno (extra: nel nome del mittente, Microsoft Outlook, manca uno spazio e viene utilizzato uno zero al posto della lettera O);
  • Il link, che appare quando il cursore passa sopra “Fix this in storage settings”, porta a un sito Google Apps Script:

 

 

Collegamento e-mail a Google Apps Script

  • Le caselle di posta non superano improvvisamente i loro limiti. Outlook inizia ad avvertire gli utenti che lo spazio si sta esaurendo molto prima di raggiungere il limite. Superarlo improvvisamente di 850 MB significherebbe probabilmente ricevere tanto spam tutto in una volta, il che è estremamente improbabile.

In ogni caso, ecco un esempio di notifica legittima di Outlook:

 

 

Notifica legittima di una casella di posta quasi piena.

  • Il link “Fix this in storage settings” reindirizza su un sito di phishing. Anche se in questo caso si tratta di una copia abbastanza convincente della pagina di accesso dall’interfaccia web di Outlook, uno sguardo alla barra degli indirizzi del browser rivela che la pagina è ospitata su un sito web contraffatto, non sull’infrastruttura della compagnia.

Come evitare di abboccare all’amo del phishing

L’esperienza dimostra che le e-mail di phishing non devono necessariamente contenere link di phishing. Pertanto, una protezione aziendale affidabile deve includere capacità anti-phishing sia a livello di server di posta, sia sui computer degli utenti.

Inoltre, alla soluzione di sicurezza va affiancata anche una formazione continua di dei dipendenti riguardo le attuali minacce informatiche e le truffe di phishing.

30 Luglio 2021