Durante la sua attività di ricerca, analisi e monitoraggio delle cyber minacce, il CSIRT Italia ha identificato un’infrastruttura Web per l’allestimento di pagine di phishing personalizzabili e pronte all’uso: un vero e proprio coltellino svizzero per la generazione di finte pagine di landing che, per ingannare le vittime, riproducono in tutto e per tutto l’aspetto grafico tipico dei portali di collaboration o dei sistemi di gestione documentale in cloud utilizzati dalle organizzazioni.
Phishing dei sistemi di gestione documentale in cloud: dettagli
Sebbene il CSIRT non sia riuscito a trovare evidenze sul modo in cui gli indirizzi URL di questi portali vengano diffusi (molto probabilmente tramite invio massivo di e-mail personalizzate), ha comunque rinvenuto che allo stato attuale tale infrastruttura consentirebbe la generazione automatica e personalizzata di pagine di login dal layout essenziale e con loghi e riferimenti delle organizzazioni che si vogliono targhettizzare.
I template delle pagine di phishing risultano ospitati in posizioni specifiche all’interno dei vari domini utilizzati. La revisione del codice HTML della pagina campione ha inoltre permesso agli analisti del CSIRT di risalire alla struttura del form impiegato e di verificare che, dopo l’inserimento e l’invio di una password richiesta, il sistema riproduce un messaggio di errore generico.
In realtà, il meccanismo di trasmissione che si cela dietro il form prevede che, insieme alla password inserita dall’eventuale vittima e memorizzata nel parametro “parody”, vengano inviati, tramite una richiesta POST ad una pagina PHP “account.php” ospitata sullo stesso dominio web, altri parametri del target opportunamente nascosti sullo stesso form e utilizzati dall’attaccante all’interno delle URL di phishing secondo una precisa struttura dati.
Le raccomandazioni consigliate
Questa nuova campagna di phishing è la conferma di come il fattore umano rappresenti ormai una condizione di rischio rilevante per la cyber security. Una delle principali cause è, infatti, la vulnerabilità correlata alla debolezza dell’utente nel riconoscere e fronteggiare possibili trappole informatiche, diventando spesso la stessa vittima complice inconsapevole della truffa o del raggiro perpetrato.
Per proteggersi da questo genere d’insidie che principalmente fa leva sull’elemento umano, a prescindere dall’impiego o meno di strumenti di sicurezza antivirus/antispam da mantenere aggiornati, occorre sempre prestare particolare attenzione a qualsiasi e-mail o altra forma di comunicazione che inviti ad aprire link o allegati, anche se proveniente da fonti note o familiari e controllare la nomenclatura dei domini Web e dei mittenti di posta elettronica che spesso vengono propinati con nomi verosimili o improbabili.