L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima

giovedì 25 novembre 2021
L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima

Il CERT AGiD lancia l'allarme rispetto ad una tipologia di cyber attacco affatto nuova, ma che ha fatto registrare una preoccupante crescita: parliamo del phishing adattivo. Il report completo del CERT è disponibile qui, ne rendiamo per utilità i punti salienti.

Phishing adattivo: che cosa è?
Per iniziare è utile dare una definizione chiara di cosa si intenda per phishing adattivo: si parla di campagne di phishing che hanno la particolarità di adattare il loro contenuto secondo il dominio dell'azienda / organizzazione di appartenenza della vittima.

Che differenza quindi con le classiche campagne di phishing?
Nella classiche campagne di phishing loghi, riferimenti, contatti, personalizzazioni vengono decisi e approntati in precedenza dagli autori: all'avvio, la campagna ha contenuti fissi, che non mutano. La novità è che sempre più spesso sono intercettate campagne di phishing i cui contenuti variano in base al profilo della vittima: i contenuti sono cioè dinamici e variano in base al dominio dell'indirizzo email della vittima stessa.

Phishing adattivo: un esempio pratico

Il CERT fornisce un esempio pratico di campagna di phishing adattivo individuata realmente in diffusione. La pagina di phishing rispondente all'URL https[:]//rtl5.tk/general-page-dru-hash.html#email@dominio.custom varia la propria foggia in base al dominio della vittima. Ecco le variazioni in immagine:

Fonte: https://cert-agid.gov.it/

Come si può vedere dall'URL della pagina, l'indirizzo email della vittima è una componente hash dell'URL. Al momento in cui l'utente compila i dati inserendo username e password, la pagina esegue una chiamata HTTP POST verso l'URL https[:]//rtl5.tk/general-eco.php.

Queste login page fake rendono anche un errore al primo tentativo di inserimento password, così da spingere la vittima ad inserire di nuovo le pass: è una tecnica già collaudata di ingegneria sociale che serve ad ingannare quegli utenti sospettosi che inseriscono al primo tentativo, a fine di test, password volutamente errate.

Il logo necessario all'approntamento della pagina di phishing adattivo viene generato dinamicamente contattando il sito https[:]//logo.clearbit.com in base all'indirizzo email presente nell'hash dell'URL. Il nome dell'organizzazione / azienda della vittima viene invece dedotto dalla stringa tra la @ e il primo punto subito successivo.

Il CERT evidenzia due aspetti peculiari relativi a questa tipologia di attacco:

efficacia della campagna:
visto che alla vittima viene mostrato il logo dell'organizzazione bersaglio aumenta esponenzialmente la possibilità che la vittima sia tratta effettivamente in inganno.
offuscamento del codice Javascript in pagine di phishing:
offuscare codice javascript non è una tecnica nuova, anzi. La novità è l'impiego di questa tecnica in pagine di phishing. Non ne è chiaro il motivo: offuscare codice javascript su una pagina di phishing non dovrebbe portare alcun vantaggio per gli attaccanti. Questo perché resta piuttosto facile analizzare una pagina di phishing tramite, banalmente, i tool del browser. E' un dato di fatto però, che tale tecnica sia sempre più diffusa.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy