{"id":24448,"date":"2021-04-22T12:41:46","date_gmt":"2021-04-22T10:41:46","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24448"},"modified":"2021-04-22T12:41:46","modified_gmt":"2021-04-22T10:41:46","slug":"office-phishing-html-attachment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/office-phishing-html-attachment\/24448\/","title":{"rendered":"Trucchi di phishing con Microsoft Office"},"content":{"rendered":"

Con l\u2019accceso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise<\/a>). Ecco perch\u00e9 vediamo cos\u00ec tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, \u00e8 molto importante sapere a cosa prestare attenzione.<\/p>\n

I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novit\u00e0<\/a>. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre pi\u00f9 sofisticati. In questo post analizzeremo un caso reale, un\u2019e-mail che abbiamo ricevuto per davvero e che ci servir\u00e0 per parlare delle best practices<\/em> da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.<\/p>\n

Nuovo trucco di phishing: l\u2019allegato HTML<\/h2>\n

Un\u2019e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l\u2019aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull\u2019URL, visualizzeremo l\u2019indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo \u00e8 quello di automatizzare il reindirizzamento.<\/p>\n

Cliccando sull\u2019allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l\u2019indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.<\/p>\n

Cosa cercare in un\u2019e-mail di phishing<\/h2>\n

Nuove tattiche a parte, il phishing \u00e8 sempre phishing, quindi dobbiamo partire dall\u2019e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:<\/p>\n

\"Un'e-mail<\/p>\n

Prima di cliccare sull\u2019allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:<\/p>\n

    \n
  1. Conoscete il mittente? \u00c8 probabile che il mittente vi lasci un messaggio vocale al lavoro?<\/li>\n
  2. \u00c8 pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d\u2019oggi, e poi Microsoft 365 non supporta pi\u00f9 la posta vocale da gennaio 2020;<\/li>\n
  3. Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l\u2019app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;<\/li>\n
  4. L\u2019allegato ha le sembianze di un file audio? Voice Recorder pu\u00f2 condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed \u00e8 custodita su un server, dovreste ricevere un link e non un allegato.<\/li>\n<\/ol>\n

    In sintesi: abbiamo un\u2019e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.<\/p>\n

    Come riconoscere una pagina di phishing<\/h2>\n

    Supponiamo che abbiate cliccato su quell\u2019allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?<\/p>\n

    \"Una<\/p>\n

    Ecco a cosa bisogna prestare attenzione:<\/p>\n

      \n
    1. Quanto visualizzato nella barra degli indirizzi ha l\u2019aspetto di un indirizzo Microsoft?<\/li>\n
    2. I link \u201cNon riesci ad accedere al tuo account?\u201d e \u201cAccedi con una chiave di sicurezza\u201d vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);<\/li>\n
    3. Vi convince ci\u00f2 che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell\u2019immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l\u2019allarme;<\/li>\n<\/ol>\n

      In ogni caso, se avete qualche dubbio, andate su https:\/\/login.microsoftonline.com\/<\/a> per verificare come appare la vera pagina di accesso di Microsoft.<\/p>\n

      Come non cadere nella trappola<\/h2>\n

      Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:<\/p>\n