Nell’era del cyber-crime-as-a-service, Microsoft svela un’operazione su vasta scala di phishing in modalità “as a service”. Gli analisti di Redmond hanno infatti scoperto una piattaforma online che permette di comprare non solo template di phishing-as-a-service (PHaaS), ma anche modelli prêt-à-porter ovvero preconfezionati e già pronti per sferrare attacchi di phishing.
“Non dobbiamo stupirci fin troppo della scoperta annunciata da Microsoft”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan: “Il vero grande trend del cyber crime è oramai la sua servitizzazione e – naturalmente – quanto questo stia guardando al mondo mobile. Conosciamo tutti il phishing (la famosa mail truffa studiata per sottrarre credenziali o informazioni sensibili); ecco, da qualche anno oramai i criminal hacker hanno traslato quella tecnica su SMS: lo smishing“.
Ma non solo: “Basta digitare su Google ‘fake email’ o ‘fake text sender’ e appariranno svariati programmi studiati per inviare questo tipo di truffe (disponibili anche per WhatsApp). A questo dobbiamo aggiungere la mole sconfinata di informazioni personali e sensibili già disponibili che possono facilitare l’invio di questo tipo di messaggi (dalle nostre email in chiaro ai numeri di telefono). Un database che non solo mette in discussione il concetto di sicurezza dei nostri dati, ma anche quello della privacy – at large – stessa”.
Iezzi conclude: “Il punto d’attenzione per la cyber security, quindi, deve essere necessariamente il social engineering: come riconoscere i segnali equivocabili di un attacco e soprattutto come evitare in primo luogo che le nostre informazioni diventino un asset per i criminal hacker. Al contrario, la nostra privacy (intesa come i nostri dati) rischia di diventare la commodity dei criminali informatici“.
Indice degli argomenti
La tecnica del doppio furto nel phishing-as-a-service (PHaaS)
Pierluigi Paganini, Cyber Security Analyst e CEO CYBHORUS, spiega che il ritrovamento da parte di Microsoft è la conferma di un fenomeno in atto: “il successo del modello del cybercrime-as-a-service, dove agiscono non solo cyber-criminali che hanno fretta di sferrare attacchi, per trarne profitto, ma perfino attori privi di competenze di hacking”, continua Paganini, il quale osserva “l’evoluzione dall’acquisto dei phishing kit al nuovo approccio di phishing-as-a-service dove non sono a noleggio solo i template, ma soprattutto tutto il resto, compresi kit sempre aggiornati, in cui si prendono di mira sempre nuovi brand e soprattutto i marchi più popolari del momento: kit personalizzabili”.
L’aspetto delle nuove frontiere del phishing che più preoccupa Paganini è “il doppio fattore di furto, in cui l’operatore non solo vende (o meglio mette a noleggio) il template, ma anche le linee di codice nascoste per ottenere le credenziali, trafugate da chi ha pagato per il noleggio della piattaforma”.
“Il servizio di phishing-as-a-service ha cioè un doppio valore aggiunto”, mette in evidenza Paganini: “guadagna due volte: con il noleggio della piattaforma, con cui l’operatore ottiene le credenziali; e poi, guadagna una seconda volta dalla condivisione delle credenziali, ottenute da chi ha noleggiato il servizio di phishing-as-a-service per trafugare quella combo di email e password”.
BulletProofLink, la piattaforma di phishing-as-a-service (PHaaS)
“Con oltre 100 template preconfezionati di phishing disponibili, che imitano noti brand e servizi, l’operazione BulletProofLink è responsabile di molte campagne di phishing con effetto dannoso sulle aziende” segnala il Defender Threat Intelligence Team di Microsoft 365 in un report.
Ora l’azienda ha aggiornato Microsoft Defender per Office 365, in modo tale salvaguardare gli utenti da eventuali attacchi phishing provenienti da uno dei template del “pacchetto” BulletProofLink.
“Nel cercare attacchi phishing, abbiamo incrociato una campagna che usava alti volumi di sub-domini appena creati e unici— oltre 300mila in un run singola” ha sottolineato il Defender Threat Intelligence Team di Microsoft 360. Il Phishing-as-a-service (PHaaS) differisce dai kit di phishing tradizionale, venduto in un’unica soluzione di pagamento per ottenere l’accesso a pacchetti di file contenenti template di email di phishing pronti all’uso, perché è la servitization del phishing: è un servizio in abbonamento e s’ispira a un modello di software-as-a-service (SaaS), mentre si espande includendo siti integrati di hosting, diffusione email e furto di credenziali.
Le credenziali rubate non vengono solo inviate agli attaccanti, ma anche agli operatori BulletProofLink sfruttando una tecnica detta “doppio furto” che usa un modus operandi che rispecchia gli attacchi di double extortion impiegati dalle gang dedite al ransomware.
Microsoft ha compiuto questa scoperta, nel corso di indagini su una campagna di furto di credenziali tramite phishing che sfruttava il kit di phishing BulletProofLink in siti sotto scacco di attaccanti o siti offerti da BulletProofLink come parte del loro servizio. L’operazione criminale sarebbe già attiva dal 2018 e si stima che BulletProofLink (anche nota come BulletProftLink e Anthrax) operi in un portale online per pubblicizzare i propri toolset da 800 dollari al mese, permettendo a gang del cyber-crimine di registrarsi e pagare il servizio.
I “clienti” dispongono anche di uno sconto del 10% per l’iscrizione alla newsletter, senza menzionare i template per le credenziali phishing fra 80 e 100 dollari per trafugare informazioni di login immesse da vittime inconsapevoli cliccando su URL malevoli contenuti nei messaggi email di phishing.
