Il CERT AGiD lancia l'allarme rispetto ad una tipologia di cyber attacco affatto nuova, ma che ha fatto registrare una preoccupante crescita: parliamo del phishing adattivo. Il report completo del CERT è disponibile qui, ne rendiamo per utilità i punti salienti.
Phishing adattivo: che cosa è?
Per iniziare è utile dare una definizione chiara di cosa si intenda per phishing adattivo: si parla di campagne di phishing che hanno la particolarità di adattare il loro contenuto secondo il dominio dell'azienda / organizzazione di appartenenza della vittima.
Che differenza quindi con le classiche campagne di phishing?
Nella classiche campagne di phishing loghi, riferimenti, contatti, personalizzazioni vengono decisi e approntati in precedenza dagli autori: all'avvio, la campagna ha contenuti fissi, che non mutano. La novità è che sempre più spesso sono intercettate campagne di phishing i cui contenuti variano in base al profilo della vittima: i contenuti sono cioè dinamici e variano in base al dominio dell'indirizzo email della vittima stessa.
Phishing adattivo: un esempio pratico
Il CERT fornisce un esempio pratico di campagna di phishing adattivo individuata realmente in diffusione. La pagina di phishing rispondente all'URL https[:]//rtl5.tk/general-page-dru-hash.html#email@dominio.custom varia la propria foggia in base al dominio della vittima. Ecco le variazioni in immagine: |
| Fonte: https://cert-agid.gov.it/ |
Come si può vedere dall'URL della pagina, l'indirizzo email della vittima è una componente hash dell'URL. Al momento in cui l'utente compila i dati inserendo username e password, la pagina esegue una chiamata HTTP POST verso l'URL https[:]//rtl5.tk/general-eco.php.
Queste login page fake rendono anche un errore al primo tentativo di inserimento password, così da spingere la vittima ad inserire di nuovo le pass: è una tecnica già collaudata di ingegneria sociale che serve ad ingannare quegli utenti sospettosi che inseriscono al primo tentativo, a fine di test, password volutamente errate.
Il logo necessario all'approntamento della pagina di phishing adattivo viene generato dinamicamente contattando il sito https[:]//logo.clearbit.com in base all'indirizzo email presente nell'hash dell'URL. Il nome dell'organizzazione / azienda della vittima viene invece dedotto dalla stringa tra la @ e il primo punto subito successivo.
Il CERT evidenzia due aspetti peculiari relativi a questa tipologia di attacco:
- efficacia della campagna:
visto che alla vittima viene mostrato il logo dell'organizzazione bersaglio aumenta esponenzialmente la possibilità che la vittima sia tratta effettivamente in inganno. - offuscamento del codice Javascript in pagine di phishing:
offuscare codice javascript non è una tecnica nuova, anzi. La novità è l'impiego di questa tecnica in pagine di phishing. Non ne è chiaro il motivo: offuscare codice javascript su una pagina di phishing non dovrebbe portare alcun vantaggio per gli attaccanti. Questo perché resta piuttosto facile analizzare una pagina di phishing tramite, banalmente, i tool del browser. E' un dato di fatto però, che tale tecnica sia sempre più diffusa.
Il report completo del CERT, con maggiori dettagli tecnici, è disponibile qui.
Nessun commento:
Posta un commento