Alcuni truffatori si servono di Google Apps Script per il reindirizzamento, evitando che i server di posta blocchino i link di phishing
Per rubare le credenziali delle e-mail aziendali dei dipendenti, i criminali informatici devono prima superare le soluzioni anti-phishing presenti sui server di posta elettronica aziendali. Di regola, si avvalgono di servizi web legittimi in modo da evitare di farsi notare; e, sempre più spesso, si servono di Google Apps Script, una piattaforma di scripting basata su JavaScript.
Cos’è Apps Script e come viene sfruttata dai cybercriminali?
Apps Script è una piattaforma basata su JavaScript per automatizzare le attività all’interno dei prodotti Google (ad esempio, per la creazione di componenti aggiuntivi per Google Docs), così come in applicazioni di terze parti. Essenzialmente, si tratta di un servizio per creare script ed eseguirli all’interno dell’infrastruttura di Google.
Nel phishing via e-mail, i cybercriminali utilizzano questo servizio per i reindirizzamenti. Invece di inserire l’URL di un sito web dannoso direttamente in un messaggio, i criminali informatici possono inserire un link a uno script. In questo modo, possono bypassare le soluzioni anti-phishing a livello di server di posta: un collegamento ipertestuale a un sito legittimo di Google con una buona reputazione supera la maggior parte dei filtri. Come vantaggio secondario per i criminali informatici, i siti di phishing non rilevati possono rimanere attivi più a lungo. Questo stratagemma conferisce ai cybercriminali la flessibilità di cambiare lo script se necessario (nel caso in cui le soluzioni di sicurezza rilevino il trucco) e di sperimentare con la consegna dei contenuti (ad esempio, reindirizzando le vittime su diverse versioni del sito a seconda della regione di appartenenza).
Esempio di una truffa tramite Google Apps Script
Tutto quello che i cybercriminali devono fare è convincere l’utente a cliccare su un link. Di recente, il pretesto più comune riguardava la “casella di posta piena”. In teoria, sembra plausibile.
Una tipica e-mail di phishing riguardante una fantomatica casella di posta piena.
I cybercriminali di solito lasciano segni per smascherare la truffa e che dovrebbero essere evidenti anche agli utenti che non hanno familiarità con le notifiche reali:
L’e-mail proviene apparentemente da Microsoft Outlook, ma l’indirizzo e-mail del mittente ha un dominio diverso. Una vera notifica su una casella di posta piena dovrebbe provenire dal server Exchange interno (extra: nel nome del mittente, Microsoft Outlook, manca uno spazio e viene utilizzato uno zero al posto della lettera O);
Il link, che appare quando il cursore passa sopra “Fix this in storage settings”, porta a un sito Google Apps Script:
Collegamento e-mail a Google Apps Script
Le caselle di posta non superano improvvisamente i loro limiti. Outlook inizia ad avvertire gli utenti che lo spazio si sta esaurendo molto prima di raggiungere il limite. Superarlo improvvisamente di 850 MB significherebbe probabilmente ricevere tanto spam tutto in una volta, il che è estremamente improbabile.
In ogni caso, ecco un esempio di notifica legittima di Outlook:
Notifica legittima di una casella di posta quasi piena.
Il link “Fix this in storage settings” reindirizza su un sito di phishing. Anche se in questo caso si tratta di una copia abbastanza convincente della pagina di accesso dall’interfaccia web di Outlook, uno sguardo alla barra degli indirizzi del browser rivela che la pagina è ospitata su un sito web contraffatto, non sull’infrastruttura della compagnia.
Come evitare di abboccare all’amo del phishing
L’esperienza dimostra che le e-mail di phishing non devono necessariamente contenere link di phishing. Pertanto, una protezione aziendale affidabile deve includere capacità anti-phishing sia a livello di server di posta, sia sui computer degli utenti.
Inoltre, alla soluzione di sicurezza va affiancata anche una formazione continua di dei dipendenti riguardo le attuali minacce informatiche e le truffe di phishing.
Per aggirare i meccanismi di analisi dei testi, i criminali informatici ora diffondono le e-mail di phishing attraverso le immagini. Ecco come evitare questo pericolo.
Le moderne soluzioni anti-phishing e anti-spam si basano sempre più su una varietà di tecnologie di apprendimento automatico. L’uso di reti neurali per analizzare i testi rende difficile ingannare questi meccanismi, ed è per questo che i cybercriminali si sono rivolti verso un trucco semplice ma efficace: inserire il testo in un’immagine. Successivamente, aggiungono l’immagine al corpo del messaggio usando la codifica Base64 (generalmente, le immagini nei messaggi di posta elettronica sono ospitate su un sito web esterno e i client di posta non caricano le immagini delle e-mail provenienti dall’esterno dell’azienda). La maggior parte di queste e-mail vanno alla caccia delle credenziali di accesso a Microsoft Office 365.
L’e-mail di phishing in questione
Un’e-mail di phishing di questo tipo è fondamentalmente un’immagine su uno sfondo bianco (in questo si confonde con l’interfaccia predefinita di Outlook). Ecco qui un esempio di quanto stiamo parlando:
Come sempre, dobbiamo considerare se ogni elemento del messaggio è appropriato, nella norma e plausibile. Non c’è alcuna ragione legale per cui il formato di questa (o di una qualsiasi altra) e-mail debba essere un’immagine. In particolare, le e-mail generate automaticamente come le verifiche di account usano del testo. Controllare se l’e-mail è un’immagine o un testo è semplice: passate sopra un collegamento ipertestuale o un pulsante e verificate se il cursore del mouse cambia, con un testo normale lo farà. In questo caso, invece, cliccando su qualsiasi punto dell’immagine si aprirà il collegamento ipertestuale perché l’URL di destinazione è collegato all’immagine, quindi in pratica l’intera immagine è un pulsante/collegamento ipertestuale.
Se vi resta ancora qualche dubbio, provate a evidenziare una parte del testo o a ridimensionare la finestra del vostro programma di posta. Se si tratta di un’immagine, non sarete in grado di evidenziare alcuna parola e il ridimensionamento della finestra non causerà l’adattamento o il cambiamento della lunghezza delle righe di testo.
Lo stile generale della e-mail non conferisce maggiore credibilità: i caratteri e l’interlinea variano, l’uso della punteggiatura è improprio e il linguaggio è inusuale. Sono tutti segnali di una probabile truffa. Certo, le persone commettono errori, ma i template di Microsoft tendono a non averne. Se vi accorgete di così tanti errori evidenti in un’e-mail, molto probabilmente si tratta di phishing.
Un’ultima cosa: la pretesa che l’account debba essere verificato entro 48 ore dovrebbe farvi suonare un ulteriore campanello d’allarme. I truffatori spesso cercano di mettere fretta agli utenti affinché compiano azioni avventate.
Il sito di phishing
Mettendo da parte l’e-mail, nemmeno il sito a cui si riferisce sembra convincente. Un sito legale appartenente a Microsoft dovrebbe essere ospitato su un dominio Microsoft; tuttavia, il banner “Create your website with WordPress.com” evidenzia chiaramente che il sito è stato costruito utilizzando la piattaforma di hosting gratuita WordPress.
Nel complesso, un sito web di questo tipo assomiglia a uno vero, ma di 25 anni fa forse. Ecco la moderna pagina di accesso ai servizi Microsoft, affinché possiate fare un confronto: https://login.microsoftonline.com/.
Come difendervi
Una soluzione di sicurezza affidabile rileva le e-mail di phishing basandosi su diversi fattori, non solo sulla mera analisi del testo. Raccomandiamo quindi di utilizzare meccanismi moderni di protezione della posta come quelli offerti da Kaspersky Security for Microsoft Office 365.
Ogni postazione di lavoro dei dipendenti e ogni dispositivo connesso ha bisogno anche di sicurezza aggiuntiva, che farà da ulteriore barriera contro il phishing e altri trucchi.
Infine, non dimenticate di fomentare una maggiore consapevolezza tra i dipendenti delle best practices di sicurezza informatica attraverso una adeguata formazione. Se il personale è a conoscenza dei metodi più moderni impiegati dai cybercrminali, è meno probabile che cadano nella trappola del phishing.
I phisher utilizzano i servizi online di Google per impossessarsi degli account dei servizi online di Microsoft
Dall’inizio della pandemia provocata dal COVID-19, molte aziende sono passate a svolgere gran parte del proprio lavoro online e hanno imparato a utilizzare nuovi strumenti di collaborazione. In particolare, assistiamo a un uso molto più esteso di Microsoft Office 365 e, di conseguenza, abbiamo osservato numerosi tentativi di phishing che prendono di mira gli account di questa suite di servizi. I truffatori sono ricorsi a svariati trucchi per indurre gli utenti aziendali a digitare la propria password su siti somiglianti in tutto e per tutto all’originale Microsoft. Ecco un altro stratagemma che sfrutta i servizi Google.
E-mail di phishing
Come la maggior parte delle tecniche di phishing, anche in questo caso tutto inizia con un’e-mail (e un link) come questi:
Il messaggio poco chiaro da un mittente sconosciuto riguarda un qualche tipo di versamento e include un link che ha a che fare con un documento chiamato “Deposit Advice”. Nell’e-mail viene chiesto al destinatario di controllare il tipo di deposito o di confermare la somma. Ora, anche se i sistemi di sicurezza avvertono i destinatari che l’e-mail proviene da un mittente esterno all’azienda, il link “al file” è comunque valido perché si collega a un servizio online legittimo di Google, non a un sito di phishing.
Sito di phishing
Il link porta a un indirizzo che sembra essere la pagina del servizio aziendale di OneDrive. Gli utenti possono anche vedere che il documento è disponibile per qualsiasi utente aziendale (probabilmente i cybercriminali hanno optato per questa visualizzazione nella speranza che qualcuno inoltri il link a un contabile della propria azienda).
Tuttavia, la schermata a cui accedono gli utenti non è una vera pagina web: si tratta di una diapositiva di una presentazione in Documenti Google che si apre automaticamente in modalità di visualizzazione. Il pulsante Apri può nascondere qualsiasi link. In questo caso, il link si collega a una pagina di phishing che si spaccia come pagina di accesso a Office 365.
Campanelli d’allarme
Tanto per cominciare, l’e-mail è strana. Non dovreste fidarvi, e tantomeno inoltrare, un messaggio la cui fonte e scopo non sono chiari. In questo caso, per esempio, se non siete in attesa di un versamento, forse non dovreste intraprendere alcuna azione che lo riguardi.
Altre prove:
Le comunicazioni da fonti esterne non tendono a collegarsi a documenti interni di un’azienda;
I veri documenti finanziari sono configurati affinché possano essere aperti solo da determinate persone, non da chiunque all’interno di un’azienda;
Il nome del file nell’e-mail non corrisponde a quello presumibilmente salvato su OneDrive;
Documenti Google non ospita le pagine di Microsoft OneDrive (date uno sguardo alla barra degli indirizzi del browser);
OneDrive non è Outlook e un pulsante Apri su OneDrive non dovrebbe portare a una pagina di accesso ad Outlook;
Le pagine di accesso ad Outlook non risiedono su siti Amazon (un altro indizio sulla barra degli indirizzi del browser da analizzare).
Ogni singola incongruenza dovrebbe attirare la vostra attenzione, e tutte insieme non lasciano spazio a dubbi: le vostre credenziali di Office 365 non sono al sicuro.
Come proteggervi
Uno dei punti chiave della sicurezza digitale consiste nel prestare attenzione ai dettagli e nell’essere a conoscenza delle tecniche di phishing. Inoltre, vi consigliamo vivamente di formare il personale riguardo le attuali minacce informatiche.
Oltre alla formazione del personale, fate uso di strumenti di analisi dei link a livello aziendale in generale e delle workstation.
Durante l’anno della pandemia di Covid-19 il concetto di email security ha assunto un ruolo di primo piano: le nostre modalità di comunicazione sono cambiate (basti pensare al lavoro da remoto), i contenuti delle comunicazioni hanno visto ondate di argomenti quasi esclusivamente legati all’evento pandemico (soprattutto in concomitanza con i principali provvedimenti restrittivi), gli aspetti legati alla sicurezza, alla privacy, agli attacchi di phishing e alla distribuzione di malware sono stati pesantemente condizionati dalla pandemia.
Se vogliamo, l’evento pandemico ha ancora più messo in evidenza la rilevanza del fattore umano nella sicurezza delle comunicazioni elettroniche.
Email security: il fenomeno phishing durante la pandemia
Ricordiamo che una campagna di phishing efficace è caratterizzata da tre elementi principali: il presentarsi come una fonte autorevole, la capacità di catturare l’attenzione della vittima, quella di instillare un senso di urgenza al fine di indurre a compiere un’azione dannosa come aprire un allegato malevolo, cliccare su un link, fornire credenziali o informazioni confidenziali.
Autorevolezza, cattura dell’attenzione, senso di urgenza, call-to-action: se ci facciamo caso, parliamo esclusivamente di leve che agiscono su aspetti affatto tecnici ma legati ai comportamenti umani.
Non è difficile immaginare come un evento eccezionale quale la pandemia con tutto il suo carico emotivo, il flusso continuo di nuove informazioni, il susseguirsi di provvedimenti normativi, i cambiamenti delle modalità di lavoro e delle abitudini di vita, abbia creato un terreno molto fertile per gli autori di campagne di phishing.
Il seguente grafico mostra l’andamento nel 2020 delle mail legittime legate alla pandemia di COVID-19.
Andamento delle mail legittime a tema COVID-19
A inizio anno abbiamo una progressiva crescita di comunicazioni che perdura circa un mese e mezzo e che inizia a decrescere solo dopo il primo lockdown. Segue un grande picco successivo ai primi allentamenti del lockdown.
In questo periodo si susseguono incessantemente provvedimenti normativi e disposizioni organizzative. È del 13 maggio la “legge rilancio” mentre il 15 maggio un decreto delinea il quadro generale all’interno del quale gli spostamenti verranno limitati da ordinanze statali, regionali e comunali.
Seguono innumerevoli ordinanze, interpretazioni e chiarimenti oltre a decreti che progressivamente vanno ad autorizzare la ripresa di ulteriori attività. A tutto questo si affiancano informazioni e aggiornamenti sull’andamento della pandemia, sullo stato del sistema sanitario, sugli studi clinici che contribuiscono ad una crescente conoscenza del fenomeno.
Indicativamente, in questo periodo il 10% delle nostre mailbox conteneva mail a tema COVID-19. Ricordo che stiamo ancora parlando di comunicazioni legittime, ovvero non malevole, che esplicitamente menzionano la pandemia. È un indice dell’attenzione che il tema ha avuto nel corso del tempo.
Quello che segue è invece l’andamento delle mail indesiderate a tema COVID-19 che sono state intercettate dai sistemi di filtraggio della posta elettronica. Oltre a mail di spam vero e proprio relative a prodotti e servizi (mascherine, gel, termoscanner, guanti, test antigenici, tamponi, improbabili prodotti anti-Covid, servizi finanziari per fronteggiare l’emergenza, eccetera) questo flusso contiene anche mail di phishing e distribuzione di malware che sfruttano l’alto livello di attenzione legato alla pandemia.
Andamento delle mail indesiderate a tema COVID-19
L’andamento delle mail indesiderate è più regolare: nel mese di marzo c’è stata una rapida crescita che poi si è più o meno stabilizzata. Da agosto in poi c’è stata una progressiva lenta decrescita. Questo grafico ci dice che il tema è stato rapidamente adottato da chi intendeva abusarne ed è stato progressivamente abbandonato solo quando ha iniziato a perdere di efficacia.
Email security: le tattiche usate negli attacchi phishing
Quali tattiche sono state utilizzate nelle mail di phishing? Tra le più aggressive abbiamo notato campagne massive di finte mail di licenziamento. La mail, che si spaccia per una comunicazione proveniente dal dipartimento risorse umane, comunica al malcapitato il suo licenziamento in tronco giustificato dall’emergenza COVID. L’esempio che segue, nonostante sia scritto in inglese, è stato inviato a numerosi dipendenti italiani di aziende multinazionali.
Campagna di phishing, finto licenziamento causa COVID
L’allegato di queste mail è un file html che punta a carpire le credenziali dell’utente.
Allegato malevolo per carpire credenziali
Naturalmente anche i tentativi di truffa massivi e di bassa qualità sono stati prontamente declinati a tema COVID. Vincite improvvise, donatori inattesi e le classiche truffe “alla nigeriana” hanno adottato le parole chiave legate alla pandemia nel tentativo di guadagnare maggiore visibilità e credibilità.
Truffa a tema COVID
Numerose e più subdole le mail che, spacciandosi per organismi istituzionali, come ad esempio l’Organizzazione Mondiale della Sanità, avvisavano di presunti allarmi per la presenza di cluster di contagio nell’area.
Campagna di phishing che si spaccia per OMS
Altrettanto diffuse le campagne di phishing legate alla ripresa delle attività produttive con finte email del MEF o di altri organismi istituzionali veicolanti malware.
Campagna di phishing che si spaccia per il MEF
L’utilizzo di nomi e loghi istituzionali conferisce una percezione di autorevolezza che abbassa le difese, in particolare in un momento in cui la paura e l’emotività sono ancora alte.
Con l’arrivo dell’app Immuni le campagne di phishing hanno incominciato a sfruttare questo nuovo filone. La seguente immagine è tratta da un sito di phishing che riproduce una finta pagina del Play Store di Google:
Finta app Immuni su un finto Google Play Store
L’anno si è chiuso con l’arrivo del cashback e non potevano mancare campagne di phishing a tema cashback o SPID.
Phishing sul cashback di Stato
Finto sito di Poste Italiane
Anche nelle campagne di email malevole vige una sorta di meccanismo di selezione naturale. Le tecniche che si dimostrano più efficaci vengono copiate si diffondono rapidamente a discapito di quelle meno efficaci.
La rapida diffusione delle campagne di phishing a tema COVID-19, in tutte le sue declinazioni, ci ha fornito una misura di quanto sia rilevante il ruolo della componente emotiva e di quanto, a parità di condizioni tecniche, sia il fattore umano a fare la differenza.
L’andamento nel corso dell’anno
Il seguente grafico mostra la percentuale di email intercettate dai sistemi di email security sul totale del traffico. Da settembre in avanti la media cala ma si tratta di oscillazioni frequenti e dipendenti da una tale quantità di variabili da non rappresentare in sé un trend particolarmente significativo.
Andamento dello spam nel 2020
Malware allegato a messaggi di posta
Già lo scorso anno avevamo rilevato la progressiva perdita di efficacia di sistemi di protezione reattivi, ovvero progettati per intercettare minacce note. Questo approccio (tendenzialmente basato su ricerca di pattern noti) è particolarmente inefficace in presenza di malware polimorfico e nuove varianti, le quali si trovano di fronte a finestre di opportunità di molte ore all’interno delle quali possono transitare senza essere intercettate.
L’approccio proattivo basato sulla rimozione delle istruzioni che abilitano alla realizzazione di un dropper (il codice che installa il malware sul computer della vittima) è l’unico che offre una copertura anche contro nuove varianti e malware polimorfico.
Il seguente grafico mostra l’andamento nel corso dell’anno dei sistemi di sandboxing di nuova generazione da noi monitorati. In rosso i file che sono stati bloccati perché riconosciuti come malevoli. In giallo i file che sono stati neutralizzati grazie all’approccio poc’anzi descritto e che non sono stati intercettati dai sistemi reattivi basati su pattern e signature. In verde i file contenenti codice attivo legittimo (come le macro legittime di un file Excel).
Allegati trattati da QuickSand
Nel corso dell’anno abbiamo osservato l’utilizzo di nuove tecniche di realizzazione di dropper.
In gennaio ha iniziato a circolare del malware basato su macro in documenti Office che, al fine di eseguire codice senza essere rilevato come malevolo, usava alcune callback VBA (Visual Basic for Applications) che vengono invocate prima di attivare una connessione. Il trucco consiste nell’inserire del contenuto remoto nel documento al fine di indurre Office ad invocare queste macro (il cui nome termina per _onConnecting). Attraverso queste callback è possibile eseguire codice senza invocarlo apertamente, consentendo di svicolare attraverso alcuni sistemi di protezione.
In maggio abbiamo visto un utilizzo smodato (come sempre, una tecnica efficace viene rapidamente copiata da altri attori) delle macro-formule di Office. Si tratta di una vecchissima funzionalità che precede l’introduzione del VBA e di cui quasi nessuno si ricordava più. Un po’ come era successo un paio di anni prima con il DDE.
In termini di nuove modalità di attacco degne di menzione, questo è tutto. Si conferma la tendenza prevalente ad affinare le tecniche di attacco e ad aggirare i sistemi di protezione ricorrendo al polimorfismo e ad un grande numero di nuove varianti.
Attacchi attraverso link
È più facile riuscire a consegnare una mail con un link piuttosto che una mail con allegato un malware, questo è il motivo per cui molti attacchi vengono condotti in questo modo.
I link spesso puntano a siti legittimi che sono stati appena compromessi e che quindi hanno una buona reputazione.
Qual è la percentuale di email che contiene almeno un link? Questo grafico mostra questo valore nel corso del 2020.
Percentuale di email contenenti almeno un link
Naturalmente tutte le mail che contengono un link ad un sito noto come pericoloso vengono intercettate e bloccate ma, come detto prima, in molti casi si tratta di un link ad un sito legittimo appena compromesso o comunque di un sito non ancora noto come pericoloso.
Questo è il motivo per cui è importante che i link vengano verificati anche al momento del click, con un sistema di sandboxing dei link che, visitando prima dell’utente la pagina, blocchi la visita in caso di pericolo.
Quanti sono i link che vengono intercettati da questa ultima rete di protezione? Ce lo dice il grafico che segue.
Percentuale di clic intercettati da UrlSand
Come vediamo si tratta di numeri piccoli, il picco non arriva allo 0,9%. Se in percentuale il valore sembra piccolo, parliamo comunque di diversi milioni di click ciascuno dei quali avrebbe potuto portare ad una compromissione.
Dove sono localizzati i siti a cui puntano questi link malevoli? La seguente mappa ci indica la distribuzione.
Distribuzione geografica siti di malware
Questa è di fatto la distribuzione dei siti che vengono utilizzati per la distribuzione di malware e phishing indirizzati verso utenti italiani.
Conclusioni
Ad oggi le mail malevole sono divenute praticamente indistinguibili dal punto di vista tecnico dalle mail legittime.
È ampiamente diffuso l’abuso di account di posta legittimi (o di servizi commerciali di invio massivo di messaggi di marketing) per l’invio di malware e phishing. Questo rende le mail malevole tecnicamente identiche a quelle legittime. La differenza la fa il contenuto.
D’altro canto intercettare una mail malevola in base alle sue caratteristiche tecniche è più facile che farlo in base al suo contenuto. Estrapolare concetti come “attrarre l’attenzione”, “spacciarsi per una fonte autorevole”, “fare leva sull’emotività o sull’impulsività” è una sfida tecnica assai più complessa rispetto al basarsi su elementi tecnici ben più definiti. Questo rende l’email security una disciplina che diviene sempre più specialistica e complessa.
Intelligenza artificiale e machine learning sono concetti generici, tutt’altro che nuovi. Sono in uso da decenni in questo settore ma hanno visto una grande evoluzione negli ultimi anni proprio per via di questa tendenza che il settore della email security ha preso: una progressiva riduzione dei “segnali” di ordine tecnico utili a discriminare traffico legittimo da traffico non legittimo e una conseguente crescente rilevanza di “segnali” legati al contenuto.
L’ultima evoluzione riguarda un particolare aspetto del machine learning che è legato alla mappatura delle relazioni tra corrispondenti di posta elettronica. Con l’obiettivo di ricostruire qualcosa di più simile possibile al concetto di “fiducia” che nelle conversazioni mediate va perso.
In una conversazione in presenza il volto, il tono della voce, la gestualità veicolano una mole di informazioni enorme. È principalmente su queste informazioni, oltre che sulla storia della relazione, che inconsciamente stabiliamo il livello di fiducia nell’interlocutore.
Come ricostruire qualcosa di simile al concetto di fiducia in una comunicazione elettronica mediata come quella attraverso la posta elettronica?
Tenendo traccia dello storia e dei pattern di comunicazione tra individui un algoritmo può cercare di stimare l’affinità tra due interlocutori stimando il livello di fiducia. L’analisi dei pattern di comunicazione consente anche di rilevare anomalie e identificare abusi (ad esempio un account takeover) o tentativi di spoofing.
Questa è la prossima frontiera della email security che i vari vendor declineranno, come sempre, ciascuno a modo suo con nomi diversi (“Adaptive Trust Engine” nel caso di Libraesva) e con risultati più o meno efficaci perché non è lo strumento in sé ma il modo in cui lo si utilizza a determinarne l’efficacia.
Se in un’e-mail vi chiedono di accedere al vostro account MS Office, ecco cosa dovreste fare
Con l’accesso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise). Ecco perché vediamo così tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, è molto importante sapere a cosa prestare attenzione.
I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novità. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre più sofisticati. In questo post analizzeremo un caso reale, un’e-mail che abbiamo ricevuto per davvero e che ci servirà per parlare delle best practices da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.
Nuovo trucco di phishing: l’allegato HTML
Un’e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l’aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull’URL, visualizzeremo l’indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo è quello di automatizzare il reindirizzamento.
Cliccando sull’allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l’indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.
Cosa cercare in un’e-mail di phishing
Nuove tattiche a parte, il phishing è sempre phishing, quindi dobbiamo partire dall’e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:
Prima di cliccare sull’allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:
Conoscete il mittente? È probabile che il mittente vi lasci un messaggio vocale al lavoro?
È pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d’oggi, e poi Microsoft 365 non supporta più la posta vocale da gennaio 2020;
Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l’app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;
L’allegato ha le sembianze di un file audio? Voice Recorder può condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed è custodita su un server, dovreste ricevere un link e non un allegato.
In sintesi: abbiamo un’e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.
Come riconoscere una pagina di phishing
Supponiamo che abbiate cliccato su quell’allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?
Ecco a cosa bisogna prestare attenzione:
Quanto visualizzato nella barra degli indirizzi ha l’aspetto di un indirizzo Microsoft?
I link “Non riesci ad accedere al tuo account?” e “Accedi con una chiave di sicurezza” vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);
Vi convince ciò che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell’immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l’allarme;
In ogni caso, se avete qualche dubbio, andate su https://login.microsoftonline.com/ per verificare come appare la vera pagina di accesso di Microsoft.
Come non cadere nella trappola
Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:
State sempre all’erta. Le nostre domande di questo post vi aiuteranno a evitare le forme più semplici di phishing.
Proteggete le caselle di posta dei dipendenti con una soluzione specifica per Office 365, per smascherare i tentativi di phishing che sfruttano link o file HTML in allegato, e avvaletevi di una protezione per endpoint che impedisca l’accesso a siti di phishing.
