{"id":25069,"date":"2021-07-07T09:52:21","date_gmt":"2021-07-07T07:52:21","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25069"},"modified":"2021-07-19T10:06:16","modified_gmt":"2021-07-19T08:06:16","slug":"adobe-online-imitation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/adobe-online-imitation\/25069\/","title":{"rendered":"PDF online per il phishing delle e-mail aziendali"},"content":{"rendered":"

L\u2019ultima trovata dei cybercriminali per appropiarsi delle credenziali e-mail aziendali, coinvolge notifiche che sembrano provenire dai servizi online di Adobe. E poich\u00e9, per fare ci\u00f2, hanno iniziato a utilizzare un file PDF online (apparentemente memorizzato sul sito web di Adobe), abbiamo creato un file reale per evidenziare i segnali di una e-mail fasulla e un \u201cPDF online\u201d falso.<\/p>\n

Messaggio di phishing Adobe PDF Online<\/h2>\n

Nei messaggi di phishing, la prima cosa che salta all\u2019occhio \u00e8 la descrizione del file, condiviso con gli utenti tramite \u201cAdobe PDF online sicuro\u201d. Chiedetevi subito: il servizio esiste davvero? Sembra plausibile, e una rapida ricerca su Google vi dir\u00e0 che Adobe ha davvero un servizio per l\u2019archiviazione di file PDF online, e quel servizio permette agli utenti di condividere file cifrati. Tuttavia, su un vero sito web di Adobe, non troverete la dicitura \u201cAdobe PDF online\u201d da nessuna parte, che invece \u00e8 \u201cAdobe Acrobat online\u201d o \u201cAdobe Document Cloud\u201d. Incuriosito, ho chiesto ad un collega di inviarmi un file per poter confrontare le notifiche.<\/p>\n

\"\"

Il vero messaggio \u00e8 quello sulla destra<\/p><\/div>\n

Supponiamo che non sappiate com\u2019\u00e8 fatta una vera e-mail di file-sharing di Adobe. Ecco alcuni segnali. Nessuno dei seguenti \u00e8 una garanzia di frode, e ci sono eccezioni a ogni regola, ma ognuno di essi dovrebbe sollevare in voi dei sospetti e spingervi a prestare molta attenzione e a indagare ulteriormente:<\/p>\n

    \n
  1. Il mittente. Se un\u2019e-mail proviene da un servizio online, questo dovrebbe essere ovvio dal nome e dall\u2019indirizzo del mittente. Al contrario, se il mittente \u00e8 una persona specifica, un messaggio da parte sua non sembrer\u00e0 una notifica ricevuta da un servizio;<\/li>\n
  2. L\u2019oggetto dell\u2019e-mail. Se steste scrivendo a qualcuno che si chiama Leo, scrivereste qualcosa come \u201cleonides@gmail.com ha ricevuto un file PDF\u201d come oggetto?<\/li>\n
  3. Il nome del servizio. Non dovete ricordare il nome di ogni singolo servizio online, ma se non siete del tutto sicuri, usate un motore di ricerca per verificare;<\/li>\n
  4. Collegamento ipertestuale\/icona. Prima di cliccare su un\u2019icona di download o di apertura di un file, passateci sopra il cursore per analizzare il link e assicuratevi che vada dove deve andare;<\/li>\n
  5. Pi\u00e8 di pagina dell\u2019e-mail. \u00c8 altamente improbabile che un\u2019e-mail di Adobe finisca con la rassicurazione che Microsoft rispetta la vostra privacy;<\/li>\n
  6. Nella frase \u201csi prega di leggere la nostra dichiarazione sulla privacy\u201d manca il link.<\/li>\n<\/ol>\n

    Non \u00e8 il sito web di Adobe Document Cloud<\/h2>\n

    Al momento, dipendiamo ancora dal fatto che i phisher commettano errori stupidi, ma nulla impedisce loro di fare un buon lavoro. Supponiamo che l\u2019e-mail sembri perfetta. Ora \u00e8 il momento di controllare il sito web, che in questo caso sembra una finestra di autenticazione che oscura l\u2019interfaccia sfocata di Adobe Acrobat Reader DC. Questo \u00e8 effettivamente plausibile, ma solo se la persona che ha ricevuto l\u2019e-mail non sa come sono fatti il vero sito web dei servizi online di Adobe e la sua finestra di richiesta di password.<\/p>\n

    \"\"

    Richiesta password sul sito web di phishing (in alto) e sul vero sito web di Adobe.<\/p><\/div>\n

    Qui, i segnali di pericolo variano un po\u2019. Si inizia con lo sfondo sfocato: una protezione abbastanza poco professionale per i dati confidenziali perch\u00e9 parte del testo \u00e8 facile da decifrare a occhio nudo.<\/p>\n

      \n
    1. L\u2019URL. Il sito web di un servizio Adobe deve mostrare un dominio Adobe nel suo indirizzo;<\/li>\n
    2. Il nome del file. Nonostante la sfocatura, \u00e8 ancora possibile distinguere il nome del file: EMInvoice_R6817-2.pdf. Questo non corrisponde alla finestra di autenticazione, che dice che il file disponibile per il download si chiama \u201cWire Transfer Receipt.pdf\u201d;<\/li>\n
    3. Termini contrastanti. Il documento sfocato riporta la parola \u201cFattura\u201d (come in una richiesta di pagamento), ma il nome del file indica \u201cricevuta\u201d (che conferma il pagamento gi\u00e0 avvenuto);<\/li>\n
    4. Versioni del programma. Il nome \u201cAdobe Acrobat Reader DC\u201d \u00e8 riconoscibile nello sfondo sfocato, mentre il programma indicato nella finestra di autenticazione \u00e8 Adobe Reader XI. Qualcuno che usa raramente i PDF potrebbe non sapere che XI \u00e8 una vecchia versione del software, ma la discrepanza dovrebbe risaltare a prescindere;<\/li>\n
    5. Sicurezza AdobeDoc. Potreste non essere al corrente dei nomi che Adobe usa per le sue tecnologie, ma c\u2019\u00e8 un simbolo di marchio registrato accanto a \u201cAdobeDoc\u201d, e vale la pena di controllare;<\/li>\n
    6. Richiesta di una password di posta elettronica. Un servizio legittimo di Adobe non ha bisogno della vostra password di posta elettronica, punto.<\/li>\n<\/ol>\n

      Come proteggere la posta elettronica aziendale dai phisher<\/h2>\n

      Per mantenere i dipendenti dell\u2019azienda al sicuro dal phishing:<\/p>\n