Cybercrooks utilizza i moduli di Google per estrarre le credenziali di accesso dagli ignari utenti di Office 365

Salvo alcune eccezioni, attaccare un'organizzazione ha il potenziale per essere molto più redditizio rispetto ad attaccare un utente domestico. Le imprese hanno molto più da perdere. Elaborano i dati dell'azienda e dei clienti che non vogliono vedere compromessi e, per la maggior parte, sanno che far hackerare i propri sistemi potrebbe avere conseguenze importanti. Alla luce di ciò, potresti pensare che hackerare con successo un'organizzazione aziendale richieda molta più raffinatezza. Una recente campagna di phishing di cui Cofense ha scritto, tuttavia, dimostra che non è sempre così.

Utenti di Office 365 interessati da una campagna di phishing

Gli esperti di Cofense hanno dichiarato di aver visto un notevole aumento del numero di e-mail di phishing rivolte agli utenti di Office 365 che lavorano per aziende di tutte le forme e dimensioni. La campagna che esaminarono più da vicino iniziò con un altro attacco.

I truffatori sono riusciti in qualche modo a compromettere un account di posta elettronica di una persona che lavora per CIM Finance, una società di servizi finanziari. Dopo l'attacco iniziale, i criminali hanno utilizzato i sistemi di CIM Finance per inviare un gran numero di e-mail di phishing e il fatto che i messaggi provenissero da una vera azienda li ha aiutati a passare attraverso controlli anti-spoofing come DKIM e SPF.

Le e-mail stesse provengono presumibilmente da un "team aziendale IT" che sta avvisando il destinatario della scadenza del proprio account Office 365. Il messaggio indica che l'utente deve aggiornare la propria password se non desidera vedere sospeso il proprio account. Come avrai già intuito, il pulsante "Aggiorna ora" porta a una pagina che non è connessa a Office 365 in alcun modo.

Invece, le vittime vedono una pagina di accesso creata con Google Forms che si maschera da Microsoft e chiede all'utente le proprie credenziali. Tutto ciò che viene inserito nei campi viene inviato ai truffatori con l'aiuto di un altro servizio gratuito offerto dal gigante dei motori di ricerca preferito del mondo - Google Drive.

Un attacco rozzo che potrebbe essere molto efficace

I truffatori non hanno fatto molti sforzi nell'attacco. Il fatto che inizino a compromettere un account presso un'azienda legittima potrebbe indurti a pensare che sanno cosa stanno facendo, ma nel complesso non hanno mostrato il livello di raffinatezza che potresti aspettarti da un gruppo di criminali cercando di attaccare gli utenti aziendali.

Utilizzando Google Forms per mettere insieme la pagina di phishing, ad esempio, i truffatori sono probabilmente riusciti a risparmiare qualche soldo, ma questo non ha fatto nulla per rendere la truffa più legittima. In effetti, una pagina servita da un servizio Google mostrerà un'icona di blocco verde nella barra degli indirizzi, che potrebbe ingannare alcune persone. Inoltre, meno phishing pigri installano comunque certificati SSL sui loro kit di phishing attentamente elaborati, quindi questo non è un grande vantaggio.

Il modulo di accesso fasullo è stato descritto come "scadente" dai ricercatori di Cofense, il che non è davvero una sorpresa considerando i limiti di Google Forms. Gli esperti hanno affermato che il layout è tutt'altro che convincente e che alcuni errori di formattazione e capitalizzazione rendono la truffa abbastanza rapidamente. Il fatto che quando un utente inserisce la propria password sul campo, viene fuori come testo normale, farà sicuramente scattare anche un bel po 'di campanelli d'allarme. O lo sarà?

Senza ombra di dubbio, questo è ben lungi dall'attacco di phishing più sofisticato, ma il semplice fatto che esista dimostra che i truffatori stanno scommettendo sul suo successo. Qualsiasi campagna di phishing si basa sull'incapacità delle persone di individuare i segni a volte evidenti di una truffa e i terabyte su terabyte di nomi utente e password rubati che vengono scambiati sui mercati sotterranei ogni giorno mostrano che ciò accade più spesso di quanto dovrebbe. Nessun attacco, indipendentemente da quanto possa sembrare mal eseguito, dovrebbe essere sottovalutato.