Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Credenziali Microsoft Office sotto attacco: individuate campagne mirate di spear phishing
- GIOVEDÌ 11 FEBBRAIO 2021


Abbiamo osservato un considerevole aumento degli attacchi di phishing da quando il mondo si è trovato catapultato nella pandemia Covid 19. Nel corso delle nostre analisi abbiamo incrociato una campagna di spear phishing che mira individui di altro profilo per il furto di credenziali. Le email che abbiamo analizzato linkano ad una pagina fake di login che imita la pagina di login di Office 365. 


Ecco una breve analisi tecnica di queste email di Spear Phishing

1. Email contenti bollette / fatture
In questa campagna sono state osservate molte email inviate a obiettivi di alto profilo contenenti, come allegati, fatture fiscali / bollette dall'aspetto molto simile a documenti legittimi. Il testo di corredo invece contrassegna le email come riservate. Queste comunicazioni contengono anche informazioni relative al Covid-19 e i dettagli dei mittenti. Nella tipologia visibile in foto, il mittente finge di essere il CEO di una banca. 


Tuttavia, una veloce verifica del domain name del mittente renderà chiara la truffa. La call to action contenuta nella email integra un URL dannoso 

https[:]//AAAA[.]israelandamerica[.]com/95125?[base64-encoded-targetID]=&&mic#73747?xxxx=xxxx=

che contiene il nome dell'azienda della vittima e l'ID email, in formato criptata base64, della vittima bersaglio. 

Quando l'utente fa click su Open, viene reindirizzato ad una landing page fake che mostra un URL ancora differente rispetto a quello indicato sopra. La pagina di atterraggio è estremamente simile alla pagina ufficiale di login di Microsoft Office. 


La schermata successiva, per l'inserimento della password, mostra addirittura il logo dell'azienda bersaglio, l'email inserita dalla vittima e un messaggio contrassegnato come "Importante". Poco importa quale password viene inserita, questo step conduce sempre a un errore: uno stratagemma per convincere la vittima a fare click su "reset password". Il click sul comando di reset riporta ad una nuova pagina, con un nuovo URL contenente comunque l'ID email. 


L'analisi del traffico ha mostrato come la password che viene inserita assieme all'ID ermail viene inviata ad un server remoto nel traffico in background. 

2. Email contenenti allegati audio
L'analisi ha riguardato anche un tentativo di phishing molto simile che prevede, però, l'uso di messaggi email audio contenenti script integrati. Un esempio è visibile sotto. 


Lo script nell'email contiene un URL che porta l'utente verso un sito di phishing. Ecco come si mostra lo script una volta decriptato


Anche questa pagina è molto simile a quella legittima di Office 365 e, anche in questo caso, contiene il logo dell'azienda bersaglio. Una volta inserita la password, si ottiene subito un errore, al primo tentativo: l'errore mostrerà un messaggi di convalida in uscita, quindi reindirizzerà al clip audio. Le credenziali inserite verranno inviate ad un server remoto. 


Consigli per scoprire gli attacchi di phishing
  • Verifica i dettagli del mittente, escludendo possibili tentativi di impersonificazione;
  • verifica l'oggetto email: la presenza di parole che rimandano a qualcosa di urgente / importante / confidenziale / finanziario sono sospette; 
  • verifica link e allegati: verifica la legittimità dei link passandoci sopra col mouse senza cliccare, per poter vedere il vero link al quale si sta per essere reindirizzati.
  • scansiona con soluzioni di sicurezza gli allegati;
  • presta attenzione al contenuto del messaggio e al formato email: leggi attentamente l'email, verifica errori sintattici e grammaticali, analizzane stili e grafica, accertati della firma e-mail. 

Esperti
Shiv Mohan
Prashant Tilekar


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 14 SETTEMBRE 2021
Allegati dannosi: quali tipi sono più usati dai cyber attaccanti nelle email?
Le email di spam inviate ogni giorno sono miliardi. No, non è un numero a caso, sono davvero miliardi. Per lo più in realtà sono email innocue, che pubblicizzano qualcosa...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login