Negli ultimi anni, le notizie relative alle infezioni via posta elettronica delle reti aziendali sono state abbastanza regolari (e generalmente collegate con i ransomware). Non sorprende quindi che gli scammer utilizzino periodicamente l\u2019argomento per cercare di ottenere le credenziali degli account di posta aziendale, convincendo i dipendenti dell\u2019azienda a eseguire una scansione della loro casella di posta.<\/p>\n
Lo stratagemma \u00e8 rivolto a persone che conoscono la potenziale minaccia dei malware nella posta elettronica, ma non hanno una comprensione sufficiente di come affrontare la questione. Il personale di infosec aziendale farebbe bene a spiegare certi trucchi ai dipendenti e a utilizzare gli esempi ch mostreremo in questo post per illustrare loro cosa cercare per non essere vittime dei cybercriminali.<\/p>\n
Questo messaggio di truffa utilizza l\u2019antico trucco dell\u2019intimidazione delle vittime. Lo si pu\u00f2 vedere proprio nell\u2019intestazione, che recita \u201callarme virus\u201d seguito da tre punti esclamativi. Per quanto insignificante possa sembrare la punteggiatura, \u00e8 la prima cosa che dovrebbe far capire al destinatario che c\u2019\u00e8 puzza di bruciato. La punteggiatura non necessaria in una e-mail di lavoro \u00e8 un segno di drammaticit\u00e0 o di mancanza di professionalit\u00e0. In entrambi i casi, non \u00e8 adeguata per una notifica che si suppone sia intesa a trasmettere informazioni su una minaccia.<\/p>\n
![\"E-mail](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/08\/07135309\/phishing-email-scanner-letter.png\")
La domanda numero uno che il destinatario dovrebbe porsi \u00e8 la seguente: chi ha inviato il messaggio? Nell\u2019e-mail si afferma che, in caso di mancato intervento, l\u2019account del destinatario verr\u00e0 bloccato. Potrebbe essere logico supporre che sia stato inviato dal servizio informatico del server di posta aziendale o dai dipendenti del provider del servizio di posta.<\/p>\n
Ma \u00e8 importante capire che nessun provider o servizio interno richiederebbe l\u2019intervento dell\u2019utente per scansionare il contenuto della casella di posta elettronica, perch\u00e9 la scansione avviene automaticamente sul server. Inoltre, \u201cl\u2019attivit\u00e0 virus\u201d si verifica raramente all\u2019interno di un account. Anche se qualcuno inviasse un virus, il destinatario dovrebbe scaricarlo ed eseguirlo. L\u2019infezione avviene sul computer, non nell\u2019account di posta.<\/p>\n
Tornando alla domanda, dando uno sguardo al mittente si notano immediatamente due campanelli d\u2019allarme. In primo luogo, l\u2019e-mail \u00e8 stata inviata da un account Hotmail, mentre una notifica legittima mostrerebbe il dominio dell\u2019azienda o del provider. In secondo luogo, si afferma che il messaggio proviene dal \u201cteam di sicurezza della posta elettronica\u201d. Se l\u2019azienda del destinatario utilizza un provider di servizi di posta elettronica di terze parti, il suo nome dovrebbe comparire nella firma. E se il server di posta si trova nell\u2019infrastruttura aziendale, la notifica arriver\u00e0 dall\u2019IT interno o dal servizio di infosec, e le possibilit\u00e0 che un intero team sia responsabile esclusivamente della sicurezza della posta elettronica sono minime.<\/p>\n
Il secondo campanello d\u2019allarme ha a che fare con il link. La maggior parte dei moderni client di posta elettronica mostra l\u2019URL celato dal link. Se il destinatario viene invitato a cliccare su uno scanner di posta elettronica situato in un dominio che non appartiene n\u00e9 alla vostra azienda n\u00e9 al servizio di posta, si tratta quasi certamente di phishing.<\/p>\n
Il sito sembra una specie di scanner di e-mail online. Per paventare autenticit\u00e0, mostra i loghi di una serie di vendor antivirus. L\u2019intestazione vanta persino il nome della societ\u00e0 del destinatario, che ha lo scopo di spazzare ogni dubbio su quale sia il suo strumento. Il sito simula prima una scansione, poi la interrompe con il messaggio sgrammaticato del tipo \u201cConfermate il vostro account qui sotto per completare scansione e-mail e cancellare tutti i file infetto\u201d. Naturalmente, \u00e8 necessario indicare la password dell\u2019account.<\/p>\n
![\"Interfaccia](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/08\/07135458\/phishing-email-scanner-yourcompany.png\")
Per verificare la natura del sito, iniziate cesaminando il contenuto della barra degli indirizzi del browser. In primo luogo, come gi\u00e0 detto, non \u00e8 sul dominio giusto. In secondo luogo, l\u2019URL contiene molto probabilmente l\u2019indirizzo e-mail del destinatario. Questo di per s\u00e9 va bene, l\u2019ID utente potrebbe essere stato passato attraverso l\u2019URL. Ma in caso di dubbi sulla legittimit\u00e0 del sito, sostituite l\u2019indirizzo con caratteri arbitrari (ma conservate il simbolo @ per mantenere l\u2019aspetto di un indirizzo e-mail).<\/p>\n
I siti di questo tipo utilizzano l\u2019indirizzo passato dal link nell\u2019e-mail di phishing per riempire gli spazi vuoti nel modello di pagina. A titolo di esperimento, abbiamo utilizzato l\u2019indirizzo inesistente victim@yourcompany.org, e il sito ha debitamente sostituito \u201cyourcompany\u201d nel nome dello scanner, e l\u2019intero indirizzo nel nome dell\u2019account, dopodich\u00e9 sembra abbia iniziato a scansionare gli allegati inesistenti di e-mail altrettanto inesistenti. Ripetendo l\u2019esperimento con un indirizzo diverso, abbiamo visto che i nomi degli allegati in ogni \u201cscansione\u201d erano gli stessi.<\/p>\n
![\"Il](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/08\/07135610\/phishing-email-scanner-scanning.png\")
Un\u2019altra incongruenza \u00e8 che si suppone che lo scanner analizzi il contenuto della casella di posta senza autenticazione. Allora perch\u00e9 c\u2019\u00e8 bisogno della password?<\/p>\n
Abbiamo analizzato in dettaglio i segnali di phishing sia nella e-mail che nel sito web del falso scanner. Il semplice fatto di mostrare questo post ai dipendenti dar\u00e0 loro un\u2019idea approssimativa di cosa cercare. Ma questa \u00e8 solo la punta del proverbiale iceberg. Alcune e-mail false sono pi\u00f9 sofisticate e pi\u00f9 difficili da individuare.<\/p>\n
Pertanto, raccomandiamo la formazione continua sulle ultime minacce informatiche, ad esempio, utilizzando la nostra Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n Inoltre, raccomandiamo l\u2019utilizzo di soluzioni di sicurezza in grado di rilevare le e-mail di phishing sul server di posta e di bloccare i reindirizzamenti ai siti di phishing dalle workstation. Kaspersky Security for Business<\/a> fa entrambe le cose. Inoltre, offriamo una soluzione che migliora i meccanismi di protezione integrati di Microsoft Office 365<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Uno sguardo dettagliato a un sito di phishing mascherato da scanner di e-mail e ai suoi tentativi di imbrogliare le vittime.<\/p>\n","protected":false},"author":2481,"featured_media":22519,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[834,874,116],"class_list":{"0":"post-22514","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-email","11":"tag-ingegneria-sociale","12":"tag-phishing"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/phishing-email-scanner\/22514\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/phishing-email-scanner\/21655\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/phishing-email-scanner\/17118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/phishing-email-scanner\/22983\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/phishing-email-scanner\/21174\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/phishing-email-scanner\/19808\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/phishing-email-scanner\/23608\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/phishing-email-scanner\/28863\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/phishing-email-scanner\/8670\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/phishing-email-scanner\/36661\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/phishing-email-scanner\/15423\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/phishing-email-scanner\/15874\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/phishing-email-scanner\/13831\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/phishing-email-scanner\/24883\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/phishing-email-scanner\/28963\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/phishing-email-scanner\/25831\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/phishing-email-scanner\/22697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/phishing-email-scanner\/27944\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/phishing-email-scanner\/27774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2481"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22514"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22514\/revisions"}],"predecessor-version":[{"id":23036,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22514\/revisions\/23036"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22519"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}