Phishing mascherato da spam

Gli hacker stanno cercando di rubare le credenziali dalla posta aziendale inviando liste di e-mail di spam in quarantena.

Cosa fate quando un’e-mail non richiesta arriva nella vostra casella di posta del lavoro? A meno che voi non siate un analista di spam, molto probabilmente la cancellate e basta. Paradossalmente, questo è esattamente ciò che alcuni phisher vogliono e, come risultato, ultimamente le nostre trappole di posta hanno visto sempre più e-mail che sembrano essere notifiche di messaggi ovviamente indesiderati.

Come funziona

I criminali informatici, contando sull’inesperienza degli utenti in materia di tecnologie antispam, inviano notifiche agli impiegati aziendali sulle e-mail che presumibilmente arrivano al loro indirizzo e sono messe in quarantena. Questi messaggi assomigliano a questo:

False notifiche sulle e-mail in quarantena.

La scelta dell’argomento è generalmente poco importante, i criminali informatici copiano semplicemente lo stile di altre pubblicità per beni e servizi non richiesti e forniscono pulsanti per cancellare o mantenere ogni messaggio. Fornisce anche un’opzione per eliminare tutti i messaggi in quarantena in una volta sola o per aprire le impostazioni della casella di posta. Gli utenti ricevono anche istruzioni visive:

Istruzioni visive inviate dai truffatori.

Qual è il trucco?

Naturalmente, i pulsanti non sono quello che sembrano. Dietro ogni pulsante e collegamento ipertestuale si trova un indirizzo che porta chi clicca a una finta pagina di login, che sembra l’interfaccia web di un servizio di posta:

Sito di phishing.

Il messaggio “Sessione scaduta” ha lo scopo di convincere l’utente ad accedere. La pagina ha uno scopo, ovviamente: raccogliere le credenziali di posta aziendale.

Indizi

Nell’e-mail, la prima cosa che dovrebbe attirare la vostra attenzione è l’indirizzo del mittente. Se la notifica fosse reale, dovrebbe provenire dal vostro server, che ha lo stesso dominio del vostro indirizzo di posta, non, come in questo caso, da una società sconosciuta.

Prima di cliccare qualsiasi link o pulsante su un messaggio, controllate dove vi reindirizzano, passando sopra il cursore del mouse. In questo caso, lo stesso link è collegato in tutti gli elementi attivi, e porta a un sito web che non ha alcuna relazione né con il dominio del destinatario né con quello ungherese del mittente. Questo include il pulsante che presumibilmente invia una “richiesta HTTP per togliere tutti i messaggi dalla quarantena”. Lo stesso indirizzo dovrebbe servire come campanello d’allarme sulla pagina di login.

Come evitare lo spam e phishing

Per evitare di abboccare all’amo, gli utenti aziendali devono avere familiarità con il playbook di base del phishing. Per questo, non cercate oltre la nostra online security awareness platform.

Naturalmente, è meglio prevenire gli incontri tra gli utenti finali e le e-mail pericolose e i siti web di phishing in primo luogo. Per questo, usate soluzioni antiphishing sia a livello di mail server che sui computer degli utenti.

Consigli