Da asporto chiave
- I truffatori fanno sempre più affidamento su servizi autentici, come i costruttori di siti Web, per ospitare campagne di phishing, hanno scoperto i ricercatori.
- Ritengono che l'utilizzo di tali servizi legittimi tenda a far sembrare credibili queste truffe.
-
Le persone possono ancora rilevare queste truffe cercando alcuni segnali rivelatori, suggerire esperti di phishing.
Solo perché un servizio legittimo richiede le tue credenziali di accesso non significa che non stai giocando.
Secondo i ricercatori dell'Unità 42, il braccio di sicurezza informatica di Palo Alto Networks, i criminali informatici stanno abusando sempre più di piattaforme SaaS (software-as-a-service) true-blue, inclusi vari costruttori di siti Web e generatori di moduli, per ospitare il phishing pagine. L'utilizzo di questi servizi di cui sopra aiuta i truffatori a dare un'aria di legittimità alle loro truffe.
"È molto intelligente perché sanno che non possiamo [bloccare] artisti del calibro di Google e altri giganti [tecnologici]", ha detto a Lifewire Adrien Gendre, Chief Tech e Product Officer con il fornitore di sicurezza della posta elettronica, Vade Secure e-mail. "Ma nonostante sia più difficile rilevare il phishing quando una pagina è ospitata su un sito Web ad alta reputazione, non è impossibile."
Falsi autentici
L'utilizzo di servizi legittimi per indurre gli utenti a consegnare le proprie credenziali di accesso non è una novità. Tuttavia, i ricercatori hanno notato un massiccio aumento di oltre il 1100% nell'utilizzo di questa strategia tra giugno 2021 e giugno 2022. Oltre a creare siti Web e moduli, i criminali informatici stanno sfruttando siti di condivisione di file, piattaforme di collaborazione e altro ancora.
Secondo i ricercatori, la crescente popolarità dei servizi SaaS autentici tra i criminali informatici è principalmente dovuta al fatto che le pagine ospitate in questi servizi non sono generalmente contrassegnate da vari filtri di frode e truffa, né nel browser Web né nei client di posta elettronica.
Inoltre, queste piattaforme SaaS non solo sono più facili da usare rispetto alla creazione di un sito Web da zero, ma consentono anche loro di passare rapidamente a una pagina di phishing diversa se una viene rimossa dalle forze dell'ordine.
Questo abuso di servizi originali per phishing non sorprende Jake, un cacciatore di minacce senior presso una società di intelligence sulle minacce, specializzato in phishing di credenziali, e che non vuole essere identificato mentre indaga su campagne di phishing attive.
Sebbene sia d'accordo sul fatto che di solito ci vuole un po' più di sforzo per rilevare tali abusi, non è impossibile, aggiungendo che questi servizi legittimi sono spesso più propensi ad agire in base alle segnalazioni di abusi, rendendo molto più facile eliminare i siti dannosi.
In una discussione con Lifewire su Twitter, Jake ha affermato che la maggior parte delle campagne di phishing, comprese quelle ospitate su servizi legittimi, hanno alcuni evidenti segnali rivelatori per chiunque presti attenzione.
"Questi servizi legittimi spesso hanno banner o piè di pagina che gli attori delle minacce non possono rimuovere, quindi siti come Wix hanno un banner in alto, i moduli di Google hanno un piè di pagina che afferma di non inserire mai password nei moduli, ecc., " disse Jake.
Occhi sbucciati
Basandosi su questo, Gendre afferma che mentre il dominio potrebbe essere attendibile, la pagina di phishing probabilmente presenterà alcune anomalie nell'URL e nel contenuto della pagina stessa.
Jake è d'accordo, aggiungendo che, per cominciare, la pagina di phishing per le credenziali sarà ancora ospitata sul sito Web abusato piuttosto che sul servizio di cui si stanno cercando le credenziali. Ad esempio, se trovi una pagina di reimpostazione della password per Gmail ospitata sul sito Web di un costruttore di siti Web come Wix o un generatore di moduli come Google Forms, puoi essere certo di essere arrivato su una pagina di phishing.
Inoltre, con un po' di attenzione, questi attacchi possono essere stroncati nella loro offerta, suggeriscono i ricercatori. Proprio come altri attacchi di phishing, anche questo inizia con un'e-mail fraudolenta.
"Gli utenti dovrebbero diffidare di eventuali e-mail sospette che utilizzano un linguaggio sensibile al tempo per indurre un utente a intraprendere una sorta di azione urgente", hanno affermato i ricercatori di Unit42.
Gendre crede che la più grande arma delle persone contro tali attacchi sia la pazienza, spiegando che "le persone tendono ad aprire e rispondere alle e-mail molto rapidamente. Gli utenti dovrebbero prendersi il tempo necessario per leggere e ispezionare l'e-mail per determinare se qualcosa è sospetto."
Anche Jake suggerisce alle persone di non fare clic sui collegamenti nelle e-mail e di visitare invece il sito Web del servizio che ha apparentemente inviato l'e-mail, inserendo direttamente l'URL o tramite un motore di ricerca.
"Se sei in grado di utilizzare un gestore di password, questi prodotti sono in grado di abbinare l'URL di destinazione con la pagina corrente che stai utilizzando e, se non corrispondono, non inseriranno la tua password, che dovrebbe far suonare un campanello d'allarme", ha detto Jake.