Avanan, sussidiaria di Check Point Software, ha rilevato una nuova tecnica di phishing che sfrutta servizi noti (PayPal, Google Documenti, iCloud e altri) per ingannare gli utenti. Sono utilizzate in particolare negli attacchi BEC (Business Email Compromise) per accedere ai dati aziendali o ricevere denaro dalle ignare vittime. Il metodo, denominato Phishing Scams 3.0, non è molto sofisticato, ma è piuttosto efficace.
Evoluzione degli attacchi BEC
BEC è un particolare attacco di spear phishing effettuato contro i dipendenti delle aziende. I cybercriminali inviano email che sembrano provenire da un dirigente o da un partner esterno, quindi il dipendente crede che siano legittime ed esegue quanto indicato nel messaggio, come il pagamento di una fattura.
L’evoluzione successiva del metodo prevede l’uso di un account compromesso e la partecipazione diretta alla discussione. Con Phishing Scams 3.0 viene invece utilizzato un servizio popolare, come iCloud, Google Documenti e PayPal. I cybercriminali devono solo creare un account gratuito. Negli ultimi due mesi sono stati rilevati quasi 34.000 attacchi.
Nel caso di Google Documenti è sufficiente menzionare la vittima nei commenti. L’ignaro utente riceverà un’email da un indirizzo Gmail legittimo. Il link presente nel messaggio porta al sito di phishing, in cui devono essere inserite le credenziali di login, oppure ad un sito per il pagamento in criptovalute. Nel caso di PayPal è sufficiente inviare la richiesta di pagamento di una fattura.
Jeremy Fuchs, portavoce di Avanan, ha dichiarato:
Stiamo assistendo a qualcosa di completamente nuovo, in cui gli aggressori utilizzano servizi legittimi e ben noti per eseguire i loro attacchi. In tali truffe, la vittima riceve un’email da un servizio totalmente legittimo, come può essere PayPal o Google Docs, che includerà un collegamento a un sito malevolo. Non c’è nulla di pericoloso in questi siti popolari che vengono sfruttati, né esiste una vulnerabilità. Però i criminali utilizzano questi servizi per ottenere l’accesso alla posta in arrivo di un utente. Esorto vivamente le persone ad attivare l’autenticazione a due fattori e utilizzare i filtri email per proteggersi da questo tipo di attacchi.