Gli hacker hanno tentato di rubare i dati di accesso all'account Microsoft utilizzando una truffa di Google Drive intelligente
Alcune credenziali di accesso sono più preziose di altre e, non a caso, gli attacchi di phishing mirati agli account importanti tendono ad essere molto più sofisticati e ben ponderati. A gennaio, i ricercatori di Check Point si sono imbattuti in una campagna di phishing, di cui hanno scritto solo martedì, e ci hanno mostrato quanto sia difficile individuare gli attacchi ben progettati.
Table of Contents
I truffatori hanno cercato di rubare le credenziali di Office 365 degli utenti con un attacco di phishing intelligente
Le e-mail sono state inviate ai dipendenti delle organizzazioni che utilizzano Office 365. Innanzitutto, il messaggio reindirizzava la vittima a un file PDF ospitato nel cloud che conteneva un collegamento, presumibilmente portando a un documento condiviso a cui il dipendente è interessato. Il collegamento reindirizzato a ciò che sembra una pagina di accesso di SharePoint che ha chiesto all'utente di accedere. Potrebbero farlo con le loro credenziali di Office 365 o con il loro ID organizzazione. Qualunque opzione abbiano scelto, apparirà un popup con un modulo di accesso Microsoft dall'aspetto convincente e qualsiasi informazione in essi inserita verrà inviata direttamente ai truffatori.
Se si esaminano gli screenshot di Check Point, vedrai che gli errori grammaticali e di ortografia che spesso associamo agli attacchi di phishing non si vedono da nessuna parte. La formattazione è praticamente identica all'originale e, durante l'intera operazione, gli utenti potrebbero facilmente essere ingannati dal fatto che stanno davvero per accedere ai loro account Microsoft. Inoltre, una volta immesse le credenziali di accesso, vengono reindirizzate a un rapporto autentico di una società di consulenza globale, che potrebbe rendere tutto ancora più credibile. Questa non è l'unica cosa che distingue questo attacco dal resto.
I phisher hanno ampiamente utilizzato i servizi cloud di Google
Il primo PDF che le vittime hanno visto è stato ospitato su Google Drive. Anche la pagina che impersonava SharePoint a cui era collegata era stata caricata sui servizi di cloud hosting di Google, così come lo stesso modulo di accesso dannoso.
Ovviamente, vedere una pagina di accesso Microsoft ospitata su un'infrastruttura di proprietà di Google non è normale, ma i truffatori sapevano che pochi utenti tendono a prestare molta attenzione alla barra degli indirizzi quando inseriscono le proprie credenziali di accesso. Sapevano anche che quelli che lo fanno hanno meno probabilità di diventare sospettosi se vedono un dominio che riconoscono.
Utilizzando i servizi di Google, i phisher riescono anche a evitare scrupolose verifiche sia dagli strumenti automatizzati che dagli amministratori di sistema che monitorano le attività dei dipendenti. Tutto sommato, l'uso del cloud di Google ha reso l'attacco molto più probabile per avere successo.
L'attacco è stato organizzato da un gruppo di phisher esperti
Il livello di sofisticazione dimostrato dai phisher non dovrebbe essere così sorprendente considerando quanta esperienza hanno. Poco dopo aver scoperto l'attacco, i ricercatori hanno informato Google e le pagine dannose sono state rimosse. Prima di andare offline, tuttavia, gli esperti di Check Point hanno esaminato il codice sorgente e hanno notato che sebbene le pagine fossero ospitate sul cloud di Google, la maggior parte delle risorse veniva caricata da prvtsmtp [.] Com, un dominio esterno.
Il dominio puntava a un server ucraino che è stato utilizzato in parecchie campagne di phishing. In primo luogo, ha ospitato le pagine dannose stesse e in seguito è stata una parte dell'infrastruttura durante gli attacchi che hanno utilizzato i servizi cloud di Microsoft Azure.
I ricercatori di Check Point hanno contribuito a porre fine all'attacco che hanno scoperto a gennaio, ma è improbabile che fermino il gruppo di phisher esperti che lo sostengono per sempre. Solo il tempo dirà quale sarà la prossima mossa dei criminali informatici. Nel frattempo, i dipendenti di tutto il mondo devono prestare particolare attenzione a dove e quando immettono le proprie credenziali di accesso.
