Trucchi di phishing con Microsoft Office

Con l’accceso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise). Ecco perché vediamo così tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, è molto importante sapere a cosa prestare attenzione.

I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novità. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre più sofisticati. In questo post analizzeremo un caso reale, un’e-mail che abbiamo ricevuto per davvero e che ci servirà per parlare delle best practices da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.

Nuovo trucco di phishing: l’allegato HTML

Un’e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l’aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull’URL, visualizzeremo l’indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo è quello di automatizzare il reindirizzamento.

Cliccando sull’allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l’indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.

Cosa cercare in un’e-mail di phishing

Nuove tattiche a parte, il phishing è sempre phishing, quindi dobbiamo partire dall’e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:

Prima di cliccare sull’allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:

1. Conoscete il mittente? È probabile che il mittente vi lasci un messaggio vocale al lavoro?
2. È pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d’oggi, e poi Microsoft 365 non supporta più la posta vocale da gennaio 2020;
3. Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l’app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;
4. L’allegato ha le sembianze di un file audio? Voice Recorder può condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed è custodita su un server, dovreste ricevere un link e non un allegato.

In sintesi: abbiamo un’e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.

Come riconoscere una pagina di phishing

Supponiamo che abbiate cliccato su quell’allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?

Ecco a cosa bisogna prestare attenzione:

1. Quanto visualizzato nella barra degli indirizzi ha l’aspetto di un indirizzo Microsoft?
2. I link “Non riesci ad accedere al tuo account?” e “Accedi con una chiave di sicurezza” vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);
3. Vi convince ciò che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell’immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l’allarme;

In ogni caso, se avete qualche dubbio, andate su https://login.microsoftonline.com/ per verificare come appare la vera pagina di accesso di Microsoft.

Come non cadere nella trappola

Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:

• State sempre all’erta. Le nostre domande di questo post vi aiuteranno a evitare le forme più semplici di phishing. Per imparare altri trucchi, provate i nostri corsi di formazione sulle minacce informatiche moderne;
• Proteggete le caselle di posta dei dipendenti con una soluzione specifica per Office 365, per smascherare i tentativi di phishing che sfruttano link o file HTML in allegato, e avvaletevi di una protezione per endpoint che impedisca l’accesso a siti di phishing.