Torniamo ad occuparci di cybersecurity e più nello specifico della campagne malevole rilevate nel nostro paese con cadenza sempre maggiore, cosa che però sta accadendo in moltissimi stati da ormai diversi anni. Anche in questo caso ci rifacciamo all’avviso diramato da CERT-AgID, l’ormai noto gruppo di ricercatori governativi che ricevono tutte le segnalazioni riferite alle campagne rilevate in Italia e spiegano come sono strutturate.
Nei primissimi giorni di giugno è stata pubblicata la notizia di una campagna massiccia di phishing che ha l’obiettivo di colpire gli utenti che utilizzano le caselle LiberoMail, un servizio email gratuito molto noto e che ad oggi conta un numero di caselle altissimo. Ciò che ovviamente ha convogliato l’interesse degli esperti di sicurezza così come le potenziali vittime che hanno segnalato il tutto è il fatto di aver ricevuto una mail scritta in italiano nella quale si chiedeva il saldo di una fattura chiaramente mai esistita. Come nel più classico degli schemi del phishing si fa riferimento anche ad accordi raggiunti in precedenza per i quali è quindi necessario un fantomatico pagamento. Per essere più chiari, ecco di seguito il testo di uno dei messaggi pubblicati dal CERT-AgID:
Buongiorno, come comunicato nella nostra ultima conversazione, abbiamo allegato il saldo della fattura.
La preghiamo di confermare la correttezza del suo IBAN il prima possibile. Distinti saluti.
In allegato, la potenziale vittima trova un file PDF chiamato Bonifico che, se aperto, riporta un messaggio per informare l’utente che si tratta di un file protetto e che quindi va scaricato tramite un pulsante posto al centro della pagina. Facendo clic sul pulsante si visualizza però una pagina di login delle webmail del servizio LiberoMail. La “bravura” di coloro che hanno architettato questo attacco sta nel fatto che, in effetti, la maschera per l’accesso alla casella Libero è quasi identica all’originale, cosa che può indurre in errore l’utente più inesperto, che si ritroverà a fornire le credenziali di una casella personale facendola quindi violare e perdendone il controllo, che verrà invece ottenuto dagli hacker.
Una volta perso il controllo degli account, le caselle violate possono essere utilizzate dai criminali per portare avanti altre campagne, sfruttando la liceità dei profili LiberoMail e quindi riuscendo ad oltrepassare i filtri antispam con maggiore facilità. Sembra che poi, una volta rubate, le credenziali vengano pubblicate gratuitamente su un canale Telegram che da due anni circa sta passando a tutti gli interessati queste informazioni. Va assolutamente precisato che i messaggi fasulli non stanno arrivando a caselle LiberoMail, bensì ad altri indirizzi, pertanto coloro che arrivano malauguratamente a visualizzare l’allegato possono ritrovarsi davanti a una pagina di login di un account che non hanno mai avuto. È chiaro anche che come spesso accade è sufficiente visualizzare l’URL di appoggio della pagina d’accesso finta, che gli hacker non hanno neanche provato minimamente a mascherare.
Fonte: 1
