Gli schemi si nascondono dietro SharePoint per esporre le vittime a truffe di phishing

In queste pagine abbiamo spesso affermato che, in termini tecnici, il phishing è la forma più semplice di criminalità informatica. Anche così, eseguire un attacco di phishing riuscito richiede ancora un po di preparazione, soprattutto se i truffatori sono seri su ciò che stanno facendo. Di recente, Milo Salvia di Cofense ha scritto di un attacco di phishing contro istituzioni finanziarie nel Regno Unito, per esempio, e va detto che per la maggior parte, è stato piuttosto ben congegnato.

U e-mail di phishing convincente

I truffatori hanno iniziato compromettendo account e-mail di qualcuno che lavorava per Independent Legal Assessors Ltd. (ILA), una società con sede a Londra che fornisce servizi legali. La firma del e-mail di phishing ha suggerito che è stata inviata da David Philips che, secondo LinkedIn , è il direttore del ILA, anche se dovremmo sottolineare che poiché Cofense ha redatto indirizzo del mittente, non possiamo essere sicuri di chi nello studio legale abbia perso il controllo del loro account di posta elettronica.

Sebbene sia piuttosto breve, e-mail stessa non ha i soliti errori di battitura o errori grammaticali. È ben formattato, il che dimostra ancora una volta che i truffatori volevano davvero creare uno schema convincente. Secondo il messaggio, il signor Philips sta inviando "una proposta", che il target deve rivedere prima che vengano prese "ulteriori disposizioni". La suddetta proposta può presumibilmente essere scaricata da un link incluso nel corpo del messaggio.

Il collegamento è racchiuso nella protezione del URL di click-time di Symantec che probabilmente viene eseguita con intenzione di mettere a proprio agio la mente del target. Dopotutto, questo servizio è progettato per controllare URL a cui punta ogni volta che un utente fa clic sul collegamento e, se qualcosa non va, dovrebbe bloccare tutto il traffico. URL a cui puntava il collegamento, tuttavia, non era dannoso in quanto tale.

Oltre a rilevare account di posta elettronica ILA, gli hacker hanno compromesso un profilo sulla piattaforma di collaborazione di SharePoint e lo hanno utilizzato per caricare un documento OneNote. Il file è stato creato come una proposta, ma il testo è stato deliberatamente sfocato. In fondo, era un link che avrebbe lasciato che obiettivo scaricasse una versione leggibile della proposta. Come puoi immaginare, porta alla pagina di phishing.

Secondo Milo Salvia, i truffatori hanno compromesso un sito Web legittimo per ospitare la loro pagina di phishing. Le informazioni whois sul dominio, tuttavia, suggeriscono che ciò potrebbe non essere il caso. e-mail del amministratore è stata anche utilizzata per la registrazione di alcuni domini che sembrano progettati appositamente per la suddivisione in caratteri .

Il codice sorgente della pagina di phishing ha mostrato a Salvia che le credenziali rubate sono state inviate direttamente tramite e-mail a un account Gmail che, sostiene il ricercatore, è stato anche compromesso dai phisher.

Una pagina di phishing poco convincente

A questo punto, sembra che abbiamo un attacco di phishing ben ponderato. email iniziale proviene da un indirizzo legittimo, la protezione del URL di click-time dovrebbe garantire agli obiettivi che non è nulla di sbagliato e il documento di SharePoint li spinge ulteriormente in un falso senso di sicurezza. I phisher ci hanno davvero messo le spalle e ti aspetteresti che alla luce di tutto ciò, intera operazione di furto di credenziali sarebbe stata completata con una pagina di phishing il più vicino possibile al originale. Sorprendentemente, tuttavia, i truffatori non si sono preoccupati così tanto della parte finale, più cruciale del intero attacco.

Il portale di phishing è fatto per assomigliare alla pagina di accesso a Office365 for Business, ma lo screenshot fornito da Cofense mostra che si tratta di u imitazione molto economica. Le vittime hanno avuto la possibilità di accedere con le loro credenziali di Office365 o con il nome utente e la password di qualsiasi altro provider di posta elettronica. Normalmente, ciò viene fatto al fine di massimizzare la quantità di informazioni rubate. In questo caso particolare, tuttavia, chiunque abbia visto aspetto della pagina di accesso originale sarebbe difficile da credere al portale di phishing. Si scopre che in realtà è un kit di phishing venduto da un gruppo chiamato Blackshop Tools. Data la bassa qualità, possiamo immaginare che sia una delle opzioni più economiche.

Sebbene il resto del attacco sia stato ben progettato, la pagina di phishing ovviamente falsa dovrebbe essere un avvertimento sufficiente per la maggior parte delle persone. La prossima volta che tentano di rubare alcune credenziali di accesso, i truffatori potrebbero decidere di optare per un kit di phishing di qualità superiore, tuttavia ciò significa che dovresti essere più attento che mai, anche quando la comunicazione nella tua casella di posta sembra completamente legittima.