Scanner di e-mail false

Uno sguardo dettagliato su un sito di phishing mascherato da scanner di e-mail e i suoi tentativi di imbrogliare le vittime.

Negli ultimi anni, le notizie relative alle infezioni basate sulla posta elettronica delle reti aziendali sono state abbastanza regolari (e generalmente collegate con il ransomware). Non sorprende quindi che gli scammer utilizzino periodicamente l’argomento per cercare di estrarre le credenziali per gli account di posta aziendale, convincendo i dipendenti dell’azienda a eseguire una scansione della loro casella di posta.

Lo stratagemma è rivolto a persone che conoscono la potenziale minaccia del malware nella posta elettronica, ma non hanno una comprensione sufficiente di come affrontarla. Il personale di Infosec farebbe bene a spiegare i trucchi ai dipendenti e a utilizzare tali esempi per illustrare ciò che i dipendenti dovrebbero cercare per evitare di cadere vittime dei cyber criminali.

E-mail di phishing

Questo messaggio di truffa utilizza l’antico trucco dell’intimidazione delle vittime. Lo si può vedere proprio nell’intestazione, che recita “allarme virus” seguito da tre punti esclamativi. Per quanto insignificante possa sembrare la punteggiatura, è la prima cosa che dovrebbe far capire al destinatario che qualcosa potrebbe essere scorretto. La punteggiatura non necessaria in una e-mail di lavoro è un segno di drammaticità o di mancanza di professionalità. In entrambi i casi, è inappropriata in una notifica che si suppone sia intesa a trasmettere informazioni su una minaccia.

E-mail di phishing

La domanda numero uno che il destinatario dovrebbe porsi è la seguente: chi ha inviato il messaggio? Nell’e-mail si afferma che, in caso di mancato intervento, l’account del destinatario verrà bloccato. Potrebbe essere logico supporre che sia stato inviato dal servizio informatico che supporta il server di posta aziendale o dai dipendenti del provider di servizi di posta.

Ma è importante capire che nessun provider o servizio interno richiederebbe l’intervento dell’utente per scansionare il contenuto della casella postale. La scansione avviene automaticamente sul server di posta. Inoltre, “l’attività dei virus” si verifica raramente all’interno di un account. Anche se qualcuno inviasse un virus, il destinatario dovrebbe scaricarlo ed eseguirlo. L’infezione avviene sul computer, non nell’account di posta.

Tornando alla domanda, dando uno sguardo al mittente si notano immediatamente due campanelli d’allarme. In primo luogo, l’e-mail è stata inviata da un account Hotmail, mentre una notifica legittima mostrerebbe il dominio dell’azienda o del provider. In secondo luogo, si afferma che il messaggio proviene dal “team di sicurezza della posta elettronica”. Se l’azienda del destinatario utilizza un provider di servizi di posta elettronica di terze parti, il suo nome è tenuto a comparire nella firma. E se il server di posta si trova nell’infrastruttura aziendale, la notifica arriverà dall’IT interno o dal servizio di infosec, e le possibilità che un intero team sia responsabile esclusivamente della sicurezza della posta elettronica sono minime.

Il prossimo è il link. La maggior parte dei moderni clienti di posta elettronica mostra l’URL celato dal link. Se il destinatario viene invitato a cliccare su uno scanner di posta elettronica situato in un dominio che non appartiene né alla vostra azienda né al mail provider, si tratta quasi certamente di phishing.

Sito di phishing

Il sito sembra una specie di scanner di e-mail online. Per quanto riguarda l’aspetto di autenticità, mostra i loghi di una serie di fornitori di antivirus. L’intestazione vanta persino il nome della società del destinatario, che ha lo scopo di eliminare ogni dubbio su quale sia il suo strumento. Il sito simula prima una scansione, poi la interrompe con il messaggio sgrammaticato “Confermate il vostro account qui sotto per completare la scansione e-mail e cancellare tutti i file infetti”. La password dell’account è necessaria per eseguire questa operazione, naturalmente.

Interfaccia scanner di phishing

Per verificare la natura del sito, iniziate esaminando il contenuto della barra degli indirizzi del browser. In primo luogo, come già detto, non è sul dominio giusto. In secondo luogo, l’URL contiene molto probabilmente l’indirizzo e-mail del destinatario. Questo di per sé va bene, l’ID utente potrebbe essere stato passato attraverso l’URL. Ma in caso di dubbi sulla legittimità del sito, sostituite l’indirizzo con caratteri arbitrari (ma conservate il simbolo @ per mantenere l’aspetto di un indirizzo e-mail).

I siti di questo tipo utilizzano l’indirizzo passato dal link nell’e-mail di phishing per riempire gli spazi vuoti nel modello di pagina. A titolo di esperimento, abbiamo utilizzato l’indirizzo inesistente victim@yourcompany.org, e il sito ha debitamente sostituito “yourcompany” nel nome dello scanner, e l’intero indirizzo nel nome dell’account, dopodiché sembra abbia iniziato a scansionare gli allegati inesistenti altrettanto e-mail inesistenti. Ripetendo l’esperimento con un indirizzo diverso, abbiamo visto che i nomi degli allegati in ogni “scansione” erano gli stessi.

Il sito del falso scanner sta simulando una scansione

Un’altra incongruenza è che si suppone che lo scanner analizzi il contenuto della casella postale senza autenticazione. Allora perché ha bisogno della password?

Come proteggere i vostri impiegati dal phishing

Abbiamo analizzato in dettaglio i segni del phishing sia nella e-mail che nel sito web del falso scanner. Il semplice fatto di mostrare questo post ai dipendenti darà loro un’idea approssimativa di cosa cercare. Ma questa è solo la punta del proverbiale iceberg. Alcune e-mail false sono più sofisticate e più difficili da individuare.

Pertanto, raccomandiamo ai dipendenti una formazione continua di sensibilizzazione sulle ultime minacce informatiche, ad esempio, utilizzando la nostra Kaspersky Automated Security Awareness Platform.

Inoltre, utilizzare soluzioni di sicurezza in grado di rilevare le e-mail di phishing sul server di posta e di bloccare i reindirizzamenti verso i siti di phishing sulle workstation. Kaspersky Security for Business fa entrambe le cose. Inoltre, offriamo una soluzione che migliora i meccanismi di protezione incorporati di Microsoft Office 365.

Consigli