PDF online per il phishing delle e-mail aziendali

I criminali informatici, che si spacciano per rappresentanti dei servizi online di Adobe, stanno inviando false notifiche per ottenere le credenziali di posta elettronica aziendali.

L’ultima trovata dei cybercriminali per appropiarsi delle credenziali e-mail aziendali, coinvolge notifiche che sembrano provenire dai servizi online di Adobe. E poiché, per fare ciò, hanno iniziato a utilizzare un file PDF online (apparentemente memorizzato sul sito web di Adobe), abbiamo creato un file reale per evidenziare i segnali di una e-mail fasulla e un “PDF online” falso.

Messaggio di phishing Adobe PDF Online

Nei messaggi di phishing, la prima cosa che salta all’occhio è la descrizione del file, condiviso con gli utenti tramite “Adobe PDF online sicuro”. Chiedetevi subito: il servizio esiste davvero? Sembra plausibile, e una rapida ricerca su Google vi dirà che Adobe ha davvero un servizio per l’archiviazione di file PDF online, e quel servizio permette agli utenti di condividere file cifrati. Tuttavia, su un vero sito web di Adobe, non troverete la dicitura “Adobe PDF online” da nessuna parte, che invece è “Adobe Acrobat online” o “Adobe Document Cloud”. Incuriosito, ho chiesto ad un collega di inviarmi un file per poter confrontare le notifiche.

Il vero messaggio è quello sulla destra

Supponiamo che non sappiate com’è fatta una vera e-mail di file-sharing di Adobe. Ecco alcuni segnali. Nessuno dei seguenti è una garanzia di frode, e ci sono eccezioni a ogni regola, ma ognuno di essi dovrebbe sollevare in voi dei sospetti e spingervi a prestare molta attenzione e a indagare ulteriormente:

  1. Il mittente. Se un’e-mail proviene da un servizio online, questo dovrebbe essere ovvio dal nome e dall’indirizzo del mittente. Al contrario, se il mittente è una persona specifica, un messaggio da parte sua non sembrerà una notifica ricevuta da un servizio;
  2. L’oggetto dell’e-mail. Se steste scrivendo a qualcuno che si chiama Leo, scrivereste qualcosa come “leonides@gmail.com ha ricevuto un file PDF” come oggetto?
  3. Il nome del servizio. Non dovete ricordare il nome di ogni singolo servizio online, ma se non siete del tutto sicuri, usate un motore di ricerca per verificare;
  4. Collegamento ipertestuale/icona. Prima di cliccare su un’icona di download o di apertura di un file, passateci sopra il cursore per analizzare il link e assicuratevi che vada dove deve andare;
  5. Piè di pagina dell’e-mail. È altamente improbabile che un’e-mail di Adobe finisca con la rassicurazione che Microsoft rispetta la vostra privacy;
  6. Nella frase “si prega di leggere la nostra dichiarazione sulla privacy” manca il link.

Non è il sito web di Adobe Document Cloud

Al momento, dipendiamo ancora dal fatto che i phisher commettano errori stupidi, ma nulla impedisce loro di fare un buon lavoro. Supponiamo che l’e-mail sembri perfetta. Ora è il momento di controllare il sito web, che in questo caso sembra una finestra di autenticazione che oscura l’interfaccia sfocata di Adobe Acrobat Reader DC. Questo è effettivamente plausibile, ma solo se la persona che ha ricevuto l’e-mail non sa come sono fatti il vero sito web dei servizi online di Adobe e la sua finestra di richiesta di password.

Richiesta password sul sito web di phishing (in alto) e sul vero sito web di Adobe.

Qui, i segnali di pericolo variano un po’. Si inizia con lo sfondo sfocato: una protezione abbastanza poco professionale per i dati confidenziali perché parte del testo è facile da decifrare a occhio nudo.

  1. L’URL. Il sito web di un servizio Adobe deve mostrare un dominio Adobe nel suo indirizzo;
  2. Il nome del file. Nonostante la sfocatura, è ancora possibile distinguere il nome del file: EMInvoice_R6817-2.pdf. Questo non corrisponde alla finestra di autenticazione, che dice che il file disponibile per il download si chiama “Wire Transfer Receipt.pdf”;
  3. Termini contrastanti. Il documento sfocato riporta la parola “Fattura” (come in una richiesta di pagamento), ma il nome del file indica “ricevuta” (che conferma il pagamento già avvenuto);
  4. Versioni del programma. Il nome “Adobe Acrobat Reader DC” è riconoscibile nello sfondo sfocato, mentre il programma indicato nella finestra di autenticazione è Adobe Reader XI. Qualcuno che usa raramente i PDF potrebbe non sapere che XI è una vecchia versione del software, ma la discrepanza dovrebbe risaltare a prescindere;
  5. Sicurezza AdobeDoc. Potreste non essere al corrente dei nomi che Adobe usa per le sue tecnologie, ma c’è un simbolo di marchio registrato accanto a “AdobeDoc”, e vale la pena di controllare;
  6. Richiesta di una password di posta elettronica. Un servizio legittimo di Adobe non ha bisogno della vostra password di posta elettronica, punto.

Come proteggere la posta elettronica aziendale dai phisher

Per mantenere i dipendenti dell’azienda al sicuro dal phishing:

Consigli