Gli esperti di Kaspersky hanno divulgato la tattica di un episodio di hijacking (o dirottamento) che ha coinvolto un account personale su un sito di provider di hosting e spiegano fino a dove può spingersi.
L’attacco inizia con del classico phishing e, in questo caso, gli attori tentano di spaventare il destinatario fingendosi per il provider di hosting al fine di indurre l’utente a un’azione rapida invocando un falso attacco informatico. I truffatori confermano di aver temporaneamente bloccato l’account in risposta a un tentativo di acquisto di un dominio sospetto e affermano che il destinatario, per riprendere il controllo dell’account, deve seguire il link indicato e accedere al suo account personale.
Il corpo del messaggio è tuttavia pieno di campanelli d’allarme: non contiene né il nome del provider né il suo logo, suggerendo l’uso di un template comune per i clienti di diversi hoster; il nome appare solo una volta, nella casella del mittente e non corrisponde al dominio di posta. Il link inoltre conduce a una pagina di login poco convincente e anche la combinazione di colori è discutibile.
Gli aggressori puntano alla possibilità che l’utente agisca in preda al panico e non lo noti.
Una volta inserite le credenziali su questa pagina, i criminali informatici ottengono il pieno controllo dell’account. In questa circostanza, tuttavia, si parla di consegnare le chiavi del sito web aziendale e risulta strano che chiedono anche alcuni dettagli finanziari.
Perché un provider di hosting?
“Date un’occhiata alla pagina di login. Tutto va bene con i certificati del sito di phishing. La sua reputazione sembra a posto, tutto quanto ha senso; i criminali informatici non hanno creato il dominio, se ne sono impossessati, probabilmente usando un attacco simile.
Ciò che i criminali informatici possono fare con il controllo di un account personale sul sito web di un host dipende dal provider. Per fare qualche esempio, possono reindirizzare ad altri contenuti, aggiornare il contenuto del sito attraverso un’interfaccia web e cambiare la password FTP per la gestione dei contenuti. In altre parole, i criminali informatici hanno diversi assi nella loro manica.
Le possibilità sono troppo ampie? Bene, ecco alcune idee più specifiche. Se i criminali informatici prendono il controllo del sito, potrebbero aggiungere una pagina di phishing, usare il sito per ospitare un link che scarica un malware, o addirittura usarlo per attaccare i clienti. In breve, possono sfruttare il nome dell’azienda e la reputazione del sito per scopi dannosi”, concludono gli esperti.
https://www.kaspersky.it/blog/hosting-provider-phishing-web-page/23974/
