Gli hacker stanno sfruttando One Note in un nuovo attacco di phishing
4 Settembre 2020 - Tempo di lettura: 7 minuti
Gli esperti descrivono in dettaglio la scoperta di una campagna di phishing in cui gli autori delle minacce creano una trappola, rendendo difficile per le potenziali vittime identificare comportamenti dannosi, aumentando le possibilità di successo dell'attacco.
La maggior parte delle campagne di phishing sono davvero semplici, coinvolgono solo un sito Web dannoso a cui si tratta di reindirizzare l'utente di destinazione. In questo caso, i criminali informatici includono alcuni passaggi aggiuntivi per confondere gli utenti ed eliminare qualsiasi sospetto che possa sorgere sull'attacco.
Come qualsiasi altra campagna di phishing, tutto inizia quando ricevi un'e-mail sconosciuta:
Nel caso analizzato dai ricercatori di NakedSecurity, il messaggio proviene dal proprietario di una società britannica legittima il cui account di posta elettronica era stato precedentemente compromesso. Il messaggio è arrivato nelle mani degli esperti perché il mittente è un abbonato al blog dell'azienda, quindi l'indirizzo e-mail di NakedSecurity era nell'elenco dei contatti.
Date le caratteristiche dell'account compromesso, i ricercatori ritengono che il proprietario comunichi regolarmente con i propri contatti, inviando messaggi e allegati di ogni tipo.
Si tratta di un attacco noto come Commercial Email Engagement (BEC), che può essere utilizzato insieme ad alcune campagne di phishing. I criminali informatici utilizzano intenzionalmente questi account compromessi per ingannare i partner commerciali e gli utenti ignari. Quando si aprono gli allegati, viene visualizzato un messaggio dall'aspetto legittimo, appositamente progettato per gli utenti che comunicano maggiormente con l'account compromesso.
Gli hacker si aspettano che l'utente faccia clic su un collegamento che reindirizza a un file One Note, che dovrebbe già sembrare sospetto, poiché non esiste una connessione chiara tra l'azienda di invio e questa posizione. Nella maggior parte dei casi, il file dovrebbe essere simile al seguente:
È in questa fase che gli hacker dimostrano le loro vere intenzioni, utilizzando un pulsante Rivedi documento che sembra essere parte del file One Note che l'utente ha aperto in precedenza.
Inutile dire che gli utenti non ricevono alcun documento; invece, questo pulsante li reindirizza a una falsa pagina di accesso in cui gli autori delle minacce cercheranno di estrarre dati sensibili dalle vittime. Gli utenti vengono reindirizzati a un sito Web WordPress compromesso appartenente a una società di organizzazione di eventi.
Sebbene questa sia una campagna fraudolenta ben organizzata, gli hacker hanno commesso un paio di errori che rivelano le loro intenzioni. Per cominciare, i criminali hanno sbagliato a scrivere il nome della società di invio, cosa che gli utenti più attenti non avranno problemi a rilevare.
Inoltre, il dominio WordPress compromesso non corrisponde al nome dell'azienda interessata, che è l'indicazione più chiara di attività fraudolenta associata a questa campagna. Infine, gli utenti vengono reindirizzati a un modulo di accesso in cui verranno estratti i loro dati.
Come al solito, si consiglia agli utenti di ignorare tali e-mail e, se possibile, notificare alla propria area IT attività dannose per l'implementazione di misure di sicurezza aggiuntive.
