Il CERT-AGID ha identificato una nuova e sofisticata campagna di phishing adattivo, che utilizza tecniche ulteriormente perfezionate per ingannare gli utenti e rubare le loro credenziali di accesso alle webmail.
Il concetto di Phishing Adattivo è stato osservato per la prima volta dal CERT-AGID nel 2021 e rappresenta una forma di attacco di phishing altamente sofisticata. Questo tipo di phishing è in grado di adattare dinamicamente il contenuto delle pagine in base al dominio email dell’organizzazione vittima, rendendo la truffa ancora più difficile da individuare.
Inizialmente, le forme di phishing adattivo rilevate si limitavano a generare dinamicamente una form di login che sfruttava il logo e il nome dell’organizzazione vittima, utilizzando le API del servizio Logo Clearbit. Tuttavia, questa tecnica si è ulteriormente perfezionata per affinare l’inganno.
Attualmente, oltre all’utilizzo improprio del servizio Clearbit, è stato riscontrato l’impiego di un ulteriore servizio, thum.io, utilizzato per generare uno screenshot del sito web, fornendogli il nome del dominio. L’immagine così generata, che riproduce fedelmente i contenuti reali del dominio della vittima e ha una larghezza di 1200 pixel, viene caricata in background, rendendo la truffa ancora più verosimile e difficile da individuare.
Oltre a ciò, le credenziali inserite dalla vittima nella falsa form di autenticazione vengono non solo memorizzate sul webserver, ma ne viene inviata anche una copia ad un bot su Telegram, aumentando ulteriormente il rischio per la sicurezza delle organizzazioni colpite.
Il Phishing Adattivo costituisce una grave minaccia per la sicurezza informatica delle organizzazioni, poiché mira a ingannare i dipendenti e gli utenti per rubare le loro credenziali di accesso alle webmail. È pertanto fondamentale operare con molta attenzione e adottare misure di sicurezza preventive efficaci per difendere la propria organizzazione e combattere questa forma di attacco informatico.
Il CERT-AGID ha intrapreso le azioni necessarie per richiedere la rimozione del dominio malevolo rilevato e ha diffuso gli Indicatori di Compromissione alle pubbliche amministrazioni accreditate attraverso il Flusso IoC, al fine di contrastare la diffusione di questa nuova campagna di phishing adattivo.