Nelle campagne di phishing gli hacker cercano di mettere in campo tutte le risorse disponibili per far sì che gli utenti messi nel mirino possano cadere in trappola. In questo approfondimento vediamo un caso riguardante una delle applicazioni più utilizzate dagli utenti Google di tutto il mondo per segnare appuntamenti, ovvero Calendar.
Gli esperti di Check Point Security hanno notato che gli hacker iniziano a sfruttare questa popolarità per poter perpetrare campagne create utilizzando anche Drawings, altro strumento Google, inviando email all’apparenza legittime in quanto provenienti direttamente da Calendar. Cambiando il mittente delle email, i criminali fanno in modo di far sembrare che le mail siano state inviate mediante l’app di Google da qualche persona o marchio conosciuto. Sembra anche che questa curiosa campagna stia coinvolgendo in modo fraudolento più di 300 aziende e che siano stati inviati più di quattromila messaggi di posta in pochi giorni.
Non è comunque la prima volta che viene osservato qualcosa di simile, poiché in passato veniva sfruttata un’altra app legittima come Google Forms, mentre come anticipato ora si è passati a Drawings, strumento che viene utilizzato dagli utenti per disegnare schemi e diagrammi. Notate le attività veicolate tramite Forms, l’azienda di Mountain View corse ai ripari appesantendo le misure di sicurezza per evitare le notifiche dannose di Calendar.
Nelle notifiche dannose riscontrate nell’ultima campagna si nota, come accade solitamente nel phishing, che viene indotta la potenziale vittima a fare clic su un link o a scaricare un allegato. Facendo una di queste due operazioni gli hacker riescono a fare breccia nei sistemi ed a rubare informazioni che vengono poi riutilizzate, a seconda del dato, per altre operazioni, per attività illegali e soprattutto per superare la sicurezza di altri account. Scendendo un po’ in dettaglio, nella mail troviamo un file calendario con formato .ics ed un collegamento verso Drawings, poi viene visualizzato un altro link con un Captcha fasullo, cliccando sul quale si finisce in una finta pagina sulle criptovalute o bitcoin. In queste pagine di atterraggio si chiede anche di completare l’autenticazione fornendo le informazioni personali e di pagamento che abbiamo citato in precedenza. La pericolosità di questo attacco risiede nel fatto che molte delle email osservate hanno sembianze quasi identiche a quelle reali di Calendar.
Evitare le problematiche legate a questo genere d’attacco è più semplice di quanto non sembri, ma è necessario comunque fare uno sforzo e creare delle procedure di protezione adatte. Innanzitutto ci si può dotare di strumenti per la sicurezza delle proprie caselle email come sistemi antivirus e antispam ormai diventati molto accessibili nel mercato IT. In secondo luogo può essere utile lavorare sulle password e sui meccanismi di autenticazione a più fattori poiché nel malaugurato caso di un furto di qualche chiave si può ovviare in modo rapido ed efficace. Andando più nello specifico di questa campagna è chiaro come bisogna sempre analizzare attentamente i mittenti per capire se è “normale” ricevere quegli inviti. Prima di cliccare su un link contenuto in un messaggio sospetto, è buona norma fermare il cursore del mouse su di esso e vedere qual è l’URL d’atterraggio, se esso non ha nulla a che vedere, in questo caso, con Calendar, è ovvio che quel messaggio può essere cestinato. Infine, è giusto segnalare anche che Google ha inserito da diverso tempo la funzione che consente agli utenti di fare una lista dei mittenti noti, di modo da contrassegnare determinati messaggi come sospetti.
Fonte: 1