Spesso parliamo di campagne di phishing nelle quali gli attaccanti si mettono nei panni di qualcun altro, ovvero un ente pubblico o un’azienda nota, per far sì che l’utente meno esperto cada in trappola e scarichi ad esempio un allegato contenente un malware o banalmente clicchi su qualche link che rimanda a pagine dove poi verranno rubati i suoi dati. Queste campagne vengono chiamate di phishing adattivo, poiché si adatta di fatto alla potenziale vittima cercando di migliorare la propria efficacia.
Il CERT-AgID ha rilasciato un approfondimento che spiega come vengono create queste campagne utilizzando dei profili email dedicati a questa attività di studio degli hacker e delle loro tecniche via email. È giusto specificare che queste email riescono a giungere nei server di posta dei destinatari quando non è stata impostata correttamente la policy di sicurezza a livello di dominio, ovviamente questo conta principalmente per i domini di posta non condivisi, quindi ad esclusione di profili come Gmail, Outlook eccetera, che hanno policy molto ristrette. L’analisi di CERT-AgID parte da una mail di poche righe, contenente un allegato in HTML, nella quale si chiede un pagamento e soprattutto di aprire il suddetto allegato. La mail sembra provenire da un mittente noto e il file serve a sottrarre le credenziali, ed il CERT-AgID ha analizzato il documento che porterebbe ad una pagina di login per poi inoltrare a terzi le credenziali fornite utilizzando, nel caso in esame, i bot delle API di Telegram.
In questo esempio, chi ha inviato la mail voleva fingersi un mittente interno allo stesso dominio di posta, quindi un collega, ma guardando all’analisi del server di posta in uscita utilizzato si scopre che proviene da un server SMTP diverso. Molto spesso gli attaccanti utilizzano server di posta in uscita violati per cercare di bypassare le policy di sicurezza del server di posta della potenziale vittima, che come abbiamo detto può avere policy fallaci. Riscontrare però queste truffe sarebbe più facile se venissero impostati correttamente i record SPF, DKIM e DMARC, attività che ogni provider di posta riesce a fare. Il login che verrà visualizzato sarà di un portale probabilmente conosciuto e si farà leva su messaggi di urgenza riguardo alla sicurezza o un tema simile, per far sì che non si inneschi il dubbio nella vittima, ma ciò che rende uniche queste campagne è la possibilità di personalizzarle per la vittima che si intende colpire. Oltre al furto di dati poi gli hacker riescono a carpire anche altri dati, ad esempio l’indirizzo IP pubblico e la localizzazione grossolana, oltre a tutta una lunga serie di controlli che consentono di capire dove viene aperto il file. Oltretutto, per una potenziale rivendita, dati come lo stato colpito, il dominio ed altre informazioni possono fare più o meno gola a chi compra i batch di dati trafugati.
Oltre a tutto questo, nella pagina d’atterraggio si trova un finto CAPTCHA che serve solo come specchietto per le allodole e per dare un senso di sicurezza alla truffa, oltre al redirect su siti non pericolosi per evitare dubbi. A suggellare l’avvenuta truffa poi c’è l’invio su Telegram dei dati che ci sono stati rubati tramite le API dell’app di messaggistica, che avviene facendo clic sul finto tasto di login. Chiudiamo questa analisi dicendo che questo caso d’esempio è molto semplice perché sono tattiche facilmente riscontrabili con un po’ di controlli in più ma serve a capire che anche le strategie che sembrano più efficaci possono essere bloccate impostando correttamente i record e bloccando determinati tipi di allegati. Per un maggiore approfondimento sulla questione rimandiamo ovviamente all’analisi di CERT-AgID.
Fonte: 1
