Il CSIRT Italia ha individuato una campagna di attacco informatico basata su una tecnica sofisticata denominata “Phishing Adattivo”. Questo metodo sfrutta parametri inseriti nelle URL malevole per generare una pagina web di phishing convincente, aumentando così la probabilità di ingannare le vittime.

Come Funziona l’Attacco

Gli aggressori utilizzano un layout minimale che include loghi e riferimenti specifici all’organizzazione della vittima, facendo leva sulla credibilità visiva per indurre l’utente a inserire le proprie credenziali. L’analisi delle URL ha messo in evidenza tre elementi chiave:

  • awstrack.me: la parte iniziale fa riferimento al servizio lecito erogato da Amazon Web Services (AWS) che permette di monitorare i click sul link e raccogliere informazioni sui visitatori (come indirizzo IP, geolocalizzazione, informazioni sul dispositivo, ecc.);
  • ipfs.io: piattaforma decentralizzata per l’archiviazione di file che permette di ospitare contenuti senza la necessità di un server centrale. L’utilizzo di questa risorsa contribuisce a rendere il contenuto apparentemente legittimo, eludendo i controlli dei sistemi di sicurezza;
  • e-mail della vittima: nella parte finale dell’URL è presente l’e-mail dell’utente che sarà successivamente utilizzata dall’attaccante per generare una pagina di richiesta credenziali personalizzata per la vittima.

Qualora la vittima clicchi sul link, viene mostrata un’animazione di caricamento seguita da una landing page ingannevole che riproduce alcuni riferimenti della propria organizzazione. Nel dettaglio, i criminali informatici fanno uso delle API di servizi legittimi come Clearbit.com e Thum.io per ottenere rispettivamente il logo e uno screenshot della homepage dell’organizzazione, così da creare una landing page apparentemente autentica per rendere più credibile la campagna di phishing.

Se l’utente inserisce le proprie credenziali, il portale invierà l’indirizzo e-mail, la password e l’IP a un bot Telegram controllato dagli attaccanti. Contestualmente, per rendere l’inganno ancora più efficace, all’utente viene mostrato un messaggio di errore che invita a riprovare fino a cinque volte, al termine dei quali la vittima sarà reindirizzata verso il dominio della propria organizzazione. Questo comportamento permette agli attaccanti di aumentare la probabilità di ottenere credenziali valide, poiché l’utente, cercando di inserire diverse combinazioni di caratteri, incrementa le possibilità che vengano registrate informazioni corrette.

Azioni di mitigazione

Il CSIRT Italia raccomanda agli utenti e alle organizzazioni di verificare scrupolosamente le e-mail ricevute e attivare le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere i propri dati personali esclusivamente su siti leciti;
  • evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
  • verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
  • evitare di dar seguito a comunicazioni di questo tipo.

Infine, si raccomanda di verificare e implementare gli Indicatori di Compromissione (IoC) sui propri apparati di sicurezza, facendo riferimento alla sezione dedicata del CSIRT Italia.

https://www.acn.gov.it/portale/en/w/rilevata-campagna-che-utilizza-tecniche-di-phishing-adattivo-

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: