Durante la sua attività di ricerca, analisi e monitoraggio delle cyber minacce, il CSIRT Italia ha identificato un’infrastruttura Web per l’allestimento di pagine di phishing personalizzabili e pronte all’uso: un vero e proprio coltellino svizzero per la generazione di finte pagine di landing che, per ingannare le vittime, riproducono in tutto e per tutto l’aspetto grafico tipico dei portali di collaboration o dei sistemi di gestione documentale in cloud utilizzati dalle organizzazioni.
Indice degli argomenti
Phishing dei sistemi di gestione documentale in cloud: dettagli
Sebbene il CSIRT non sia riuscito a trovare evidenze sul modo in cui gli indirizzi URL di questi portali vengano diffusi (molto probabilmente tramite invio massivo di e-mail personalizzate), ha comunque rinvenuto che allo stato attuale tale infrastruttura consentirebbe la generazione automatica e personalizzata di pagine di login dal layout essenziale e con loghi e riferimenti delle organizzazioni che si vogliono targhettizzare.
Un layout di una pagina phishing di login ad un finto sistema di gestione documentale in cloud rilevata dal CSIRT.
I template delle pagine di phishing risultano ospitati in posizioni specifiche all’interno dei vari domini utilizzati e al momento della stesura del presente articolo una di queste pagine web appare ancora attiva e visibile all’indirizzo hxxps://aksfleet[.]com/client_id=4345a7b9-9a63-4910-a426-35363201d503&response_type_token&scope=openid/.
La revisione del codice HTML della pagina campione ha inoltre permesso agli analisti del CSIRT di risalire alla struttura del form impiegato e di verificare che, dopo l’inserimento e l’invio di una password richiesta, il sistema riproduce un messaggio di errore generico.
Messaggio di errore generico del login effettuato sulla pagina phishing di login ad un finto sistema di gestione documentale in cloud (fonte: CSIRT).
In realtà, il meccanismo di trasmissione che si cela dietro il form prevede che, insieme alla password inserita dall’eventuale vittima e memorizzata nel parametro “parody”, vengano inviati, tramite una richiesta POST ad una pagina PHP “account.php” ospitata sullo stesso dominio web, altri parametri del target opportunamente nascosti sullo stesso form e utilizzati dall’attaccante all’interno delle URL di phishing secondo una precisa struttura dati:
- parametro “domainport” contenente il dominio dell’organizzazione;
- parametro “work” contenente il nome dell’organizzazione;
- parametro “drop” contenente l’indirizzo e-mail;
- parametro “ namey” contenente il nominativo della vittima.
Il codice HTML del form presente nella pagina di phishing (fonte: CSIRT).
Tutte queste evidenze fanno ragionevolmente ritenere che l’impianto web, forse ancora in fase di sviluppo, possa essere messo a disposizione anche come servizio a pagamento/noleggio ad affiliazioni criminali terze.
Le raccomandazioni consigliate
Questa nuova campagna di phishing è la conferma di come il fattore umano rappresenti ormai una condizione di rischio rilevante per la cyber security. Una delle principali cause è, infatti, la vulnerabilità correlata alla debolezza dell’utente nel riconoscere e fronteggiare possibili trappole informatiche, diventando spesso la stessa vittima complice inconsapevole della truffa o del raggiro perpetrato.
La piena consapevolezza della presenza di tale anello debole ha portato i criminali informatici sempre più a implementare attacchi di tipo phishing associati a tecniche d’ingegneria sociale anche attraverso lo sfruttamento di servizi già pronti, efficaci, semplici da utilizzare e facilmente reperibili (a basso costo e talvolta gratis) non solo sui mercati underground del Dark Web. Scopo ultimo indurre il malcapitato interlocutore a fornire con l’inganno credenziali e dati sensibili.
Per proteggersi da questo genere d’insidie che principalmente fa leva sull’elemento umano, a prescindere dall’impiego o meno di strumenti di sicurezza antivirus/antispam da mantenere aggiornati, occorre sempre prestare particolare attenzione a qualsiasi e-mail o altra forma di comunicazione che inviti ad aprire link o allegati, anche se proveniente da fonti note o familiari e controllare la nomenclatura dei domini Web e dei mittenti di posta elettronica che spesso vengono propinati con nomi verosimili o improbabili.
Il CSIRT, infine, consiglia in generale agli amministratori di sistema di valutare l’implementazione sui propri apparati di sicurezza dei seguenti indicatori di compromissione (IoC) utili a identificare eventuali attività di questa campagna:
- hxxps://aksfleet[.]com/client_id=4345a7b9-9a63-4910-a426-35363201d503&response_type_token&scope=openid/
- hxxps://marcaecuador[.]com/management/
- hxxps://thehaircorner[.]org/private/
- hxxps://evergreenreport[.]com/management/
- hxxps://gerrtrtygrzater[.]com /management/
- hxxps://di-eureka[.]com/management/
- hxxps://bizydalestudios[.]com/management/
- hxxps://mgmtradehungary[.]com/shares/
