I criminal hacker hanno trovato il modo di sfruttare le notifiche di WeTransfer, la famosa piattaforma di cloud storage e condivisione di file molto utilizzata anche in ambito aziendale, per condurre una massiccia campagna di phishing che sta diffondendo URL dannose bypassando con successo i gateway e i sistemi di controllo delle caselle di posta elettronica progettati per bloccare i messaggi spam.
Indice degli argomenti
WeTransfer phishing: ecco come avviene l’attacco
Il phishing, come sappiamo, è un metodo ampiamente utilizzato dai criminal hacker per rubare credenziali e password di accesso e consente loro di colpire le vittime a prescindere dai dispositivi e dai sistemi operativi utilizzati. La tecnica di attacco è sempre la stessa e consiste, in pratica, nel soppiantare l’identità di un sito o di una piattaforma legittima per ottenere la fiducia dell’utente e indurlo ad inserire i propri dati personali per poi rubarli.
Gli attacchi di tipo phishing possono assumere varie forme: e-mail, post sui social network, SMS o programmi di messaggistica istantanea.
La novità, individuata e analizzata dai ricercatori di sicurezza del Cofense Phishing Defense Center, è che ora i criminal hacker hanno iniziato a sfruttare le notifiche via e-mail di WeTransfer per raggiungere il loro obiettivo: questo escamotage consente di bypassare facilmente le difese dei gateway di posta elettronica in quanto i messaggi usati dalla piattaforma di cloud storage per notificare agli utenti la disponibilità di un file pronto al download contengono un link del tutto valido alla risorsa condivisa.
Tipica notifica inviata da WeTransfer per informarci che qualcuno ha condiviso un file con noi. Attenzione, perché il mittente potrebbe essere stato falsificato e nascondere un pericoloso criminal hacker.
Gli aggressori, inoltre, utilizzano quelli che sembrano essere account di posta elettronica già compromessi in precedenti attacchi informatici: il Dark Web è pieno di enormi database con credenziali rubate in seguito a data breach compiuti ai danni di importanti piattaforme online (recenti, in Italia, le violazioni delle caselle di PEC di numerosi magistrati, avvocati e ordini professionali).
Non rilevando alcuna URL fraudolenta, i sistemi di controllo dell’e-mail di destinazione non segnalano alcun attacco di tipo phishing.
A quel punto, l’utente decide di seguire il link indicato e procedere al download del file condiviso, indotto a farlo anche perché nel testo della notifica i criminal hacker usano alcune esche alle quali è facile abboccare: classico l’esempio di una richiesta che invita a scaricare una fattura non ancora pagata.
In realtà, il file condiviso altro non è se non un semplice file in formato HTM o HTML che, una volta aperto, reindirizza il browser della inconsapevole vittima verso un sito web dannoso che cela la trappola vera e propria del phishing.
Alla vittima viene quindi chiesto di inserire le sue credenziali di accesso alla suite Office365 per effettuare il login e recuperare il file.
Come proteggersi da questo tipo di attacco
Come sempre, quando ci si trova di fronte ad un tentativo di attacco di tipo phishing, la cosa principale e più importante è il buon senso. Dobbiamo sempre assicurarci della fonte di qualsiasi posta o messaggio che stiamo ricevendo.
Inoltre, non bisogna mai cliccare su link di terze parti senza sapere cosa e chi c’è realmente nascosto dietro di loro.
Così come è imprudente inserire le nostre credenziali di accesso o la password a servizi online senza averne prima verificato l’autenticità: il modo più semplice per farlo è passare il cursore del mouse sulla URL sospetta e poi vedere nella barra di stato del browser o del client di posta elettronica dove punta realmente.
Infine, è sempre utile fare uso di programmi e strumenti di sicurezza. È vero che in questo tipo di attacchi non sempre agiscono correttamente, ma possono comunque aiutare a difendere i nostri computer da molti altri tipi di attacchi che compromettono la sicurezza e la privacy.
