Attenzione allo spear phishing post emergenza COVID-19

Un team di sicurezza statunitense ha osservato una nuova campagna di spear phishing che tenta di raccogliere credenziali di accesso direttamente dai dipendenti, impersonando il direttore informatico aziendale (CIO) che dà loro il benvenuto delineando le nuove regole post emergenziali.

La campagna vaccinale anti covid sta consentendo via via sempre più, ad aziende private e PA, di riaprire i battenti riducendo lo smart working ma continuando a seguire rigidi protocolli e linee guida di sicurezza. Mentre il mondo sembra iniziare a tornare alla normalità, il cyber crime continua a sfruttare ogni escamotage per perpetrare le proprie attività fraudolente contro i propri obiettivi. E proprio il rientro graduale dei lavoratori negli uffici può rappresentare un’allettante opportunità per compromettere credenziali ed eludere i gateway di posta elettronica. 

Un team di sicurezza statunitense ha, infatti, osservato una nuova campagna di spear phishing che tenta di raccogliere credenziali di accesso direttamente dai dipendenti, impersonando il direttore informatico aziendale (Chief Information Officer – CIO) che dà loro il benvenuto delineando le nuove regole post emergenziali.

L’e-mail di phishing mirata

Fingendosi un dirigente informatico (l’e-mail è firmata da una figura interna all’azienda e riporta il relativo logo nell’intestazione), lo scammer invia ai dipendenti una falsa newsletter fornendo spiegazioni su protocolli e linee guida da seguire per gestire in perfetta sicurezza il rientro a lavoro in presenza, secondo le nuove precauzioni e modifiche adottate dall’azienda in relazione alla favorevole evoluzione della situazione di emergenza.

In questo caso, ciò che viene sfruttata, è l’alta probabilità che, considerato il miglioramento dell’andamento epidemiologico, molte aziende stiano pianificando una riduzione in percentuale della prestazione lavorativa in modalità agile svolta dal proprio personale.

L’e- mail del campione esaminato dai ricercatori recita pressappoco così :

“L’azienda ha monitorato da vicino gli sviluppi relativi al coronavirus (COVID-19), inclusi gli aggiornamenti forniti dal Centers for Disease Control, dall’Organizzazione Mondiale della Sanità e dalle aziende sanitarie locali. Nel tentativo di mantenere protetti e informati tutti i dipendenti della nostra azienda si riportano di seguito le misure precauzionali messe in atto. Gli allegati includono un foglio informativo Covid-19 e una lettera più specifica, che delineano le iniziative intraprese per affrontare questa situazione in evoluzione […]  si prega di visualizzare la newsletter e rimanere aggiornati.  Si prega di leggere la lettera nella sua interezza in quanto affronta anche importanti modifiche alle operazioni aziendali”

L’insolita tecnica impiegata

Se il dipendente dovesse dare seguito e cliccare sul link riportato per leggere la versione integrale delle linee guida, verrebbe reindirizzato ad una presunta pagina di Microsoft SharePoint che condivide due documenti:

  • un file .docx sul protocollo di sicurezza per i dipendenti;
  • un file .pdf  sulla Privacy a tema Covid19

Microsoft SharePoint, è una nota piattaforma software CMS che permette la creazione e la distribuzione di siti web Intranet/Internet per la condivisione di documenti tramite autenticazione.

La novità di questo attacco consiste proprio nel non reindirizzare subito ad una pagina di landing, ma piuttosto presentare dei file credibili per la cui visualizzazione è necessario fornire le proprie credenziali.

Cliccando su uno dei documenti presentati, infatti, viene visualizzato un pannello di accesso che richiede al destinatario di fornire e-mail e password tramite un presunto canale criptato.

Spear Phishing: l’importanza della consapevolezza

Lo stesso team di sicurezza ha riscontrato anche un’altra tecnica adottata in campagne simili nel tentativo di fare abbassare la guardia ai malcapitati, cioè quella di fingere la mancata convalida delle credenziali (facendo apparire un falso messaggio di errore) e solo dopo vari tentativi reindirizzare l’utente verso una pagina autentica, dando così l’illusione della correttezza delle informazioni inserite e di poter avere finalmente accesso ai documenti, mentre in realtà, quelle stesse informazioni sono già finite in possesso dei criminali.

Per tutti questi motivi risulta sempre più cruciale per le aziende prendere coscienza dell’esistenza di queste minacce e delle relative modalità di mitigazione, allo scopo di assimilare e infondere una cultura aziendale basata sulla consapevolezza della sicurezza e sull’effettiva attuazione delle best practice.

ICT Expert & Information Security contributor

Related Posts

Ultime news