Un gruppo di ricercatori ha recentemente scoperto una nuova sofisticata campagna di phishing che utilizza nomi di brand riconosciuti – come aziende del calibro di Samsung e istituti come Oxford – per aggirare i filtri di sicurezza e per indurre le vittime a inserire le proprie credenziali di Microsoft Office 365.

Fanno questo grazie a una tecnica chiamata “open redirect”.

Il rapporto di Check Point Software ha osservato per la prima volta gli attacchi – la maggior parte dei quali ha preso di mira le aziende europee – quando hanno scoperto e-mail inviate alle vittime dal titolo “Office 365 Voice Mail”.

Le e-mail hanno cercato di attirare le vittime a cliccare su un pulsante che le avrebbe portate al loro account di Office 365 per recuperare un messaggio vocale che era in attesa di essere ascoltato.

Se le vittime abboccavano all’esca, venivano reindirizzate a quella che sembrava essere la pagina di login di Office 365, ma che in realtà era una pagina di phishing creata ad-hoc.

All’inizio gli attacchi sembravano essere la classica campagna di phishing di Office 365, tuttavia, quando i ricercatori hanno approfondito nel loro studio, hanno trovato uno schema di attacco molto sofisticato e ben realizzato che fa leva su marchi noti e rispettabili per eludere tutte le misure di sicurezza per raggiungere il proprio obiettivo.

Da Samsung a Oxford, quando il Phishing diventa avanzato

Oggi il phishing continua ad essere la tecnica privilegiata per stabilire un punto d’appoggio all’interno di una rete aziendale. L’accesso alla posta aziendale può consentire ai Criminal Hacker un accesso illimitato alle operazioni di un’azienda, come le transazioni, i rapporti finanziari, l’invio di e-mail all’interno dell’azienda da una fonte affidabile, le password e persino l’accesso ai dati del cloud aziendale.

Non è un’impresa semplice, fortunatamente, portare a termine questo tipo di attacco, soprattutto verso bersagli “di spessore”.

Il livello di sofisticazione ha richiesto a chi sta dietro la campagna di accedere ai server di Samsung e dell’Università di Oxford senza essere notato, il che a sua volta richiede una profonda comprensione del loro funzionamento.

Nella campagna, i ricercatori hanno osservato i Criminal Hacker utilizzare un dominio Samsung ospitato su un server Adobe – che è stato lasciato inutilizzato dall’evento Cyber Monday del 2018 – in una tecnica chiamata “open redirects”, permettendo loro di sfruttare un dominio Samsung legittimo per ingannare con successo le vittime.

Il metodo è fondamentalmente un URL su un sito web che può essere utilizzato da chiunque per reindirizzare gli utenti verso un altro sito, aggiungendo legittimità agli URL utilizzati nelle email dannose.

In questo caso, i link nella mail reindirizzano al server Adobe precedentemente utilizzato, rendendo il link utilizzato nella mail di phishing parte del dominio Samsung fidato, uno stelo che inconsapevolmente reindirizza le vittime verso un sito web ospitato dai Criminal hacker.

Utilizzando lo specifico formato gli aggressori hanno aumentato le possibilità per l’email di aggirare le soluzioni di sicurezza basate sulla reputazione, le blacklist e gli schemi di URL.

Altre campagne osservate nell’ultimo anno mostrano inoltre che i Criminal Hacker hanno intensificato l’utilizzo degli “open redirects” di Google e Adobe nelle campagne di phishing per aggiungere legittimità agli URL utilizzati nelle e-mail di spam.

Lo stesso metodo è stato impiegato principalmente di indirizzi appartenenti a sottodomini legittimi di diversi dipartimenti dell’Università di Oxford.

Ciò dimostra che gli aggressori hanno in qualche modo trovato un modo per abusare di uno dei semplici server di Oxford per il protocollo SMTP (Simple Mail Transfer Protocol) per superare il controllo della reputazione richiesto dalle misure di sicurezza per il dominio del mittente.

Categories:

Tags:

Comments are closed

Show Buttons
Hide Buttons
%d blogger hanno fatto clic su Mi Piace per questo: