Con l’evoluzione recente delle tecnologie e l’ampia disponibilità di strumenti informatici efficaci e innovativi, anche gli aggressori che si celano dietro le minacce via e-mail stanno affinando le loro tattiche per aumentare le possibilità di sferrare attacchi di successo ed evitare di essere bloccati dalle misure di difesa più all’avanguardia. Di seguito, gli esperti di Barracuda Networks, principale fornitore di soluzioni di sicurezza cloud-first, hanno analizzato tre avanzate tecniche di phishing che rappresentano un pericolo sempre maggiore per le organizzazioni.
- Codici QR malevoli all’interno di file PDF
Il phishing tramite codice QR, noto anche come quishing o QRishing, è un tipo di attacco di social engineering in cui i criminali informatici cercano di indurre le vittime a scansionare un codice QR che rimanda a un sito web malevolo per rubare informazioni sensibili quali, ad esempio, credenziali o dati finanziari.
Tra metà giugno e metà settembre 2024, i ricercatori di Barracuda hanno identificato e analizzato più di mezzo milione di e-mail di phishing con codici QR incorporati in documenti PDF. I PDF vengono allegati a messaggi che utilizzano l’impersonificazione di aziende conosciute e finte comunicazioni urgenti per spingere le potenziali vittime a rispondere. Ciò rappresenta un notevole cambiamento, in quanto, in passato, solitamente questi codici erano inclusi nel corpo delle e-mail.
Nella maggior parte degli attacchi esaminati dai ricercatori di Barracuda, i truffatori si spacciano per aziende ben note, come ad esempio Microsoft – anche nelle declinazioni di SharePoint e OneDrive – che viene utilizzata in più della metà (51%) degli attacchi, seguita da DocuSign (31%) e Adobe (15%). In un ristretto numero di attacchi, invece, i truffatori fingono di scrivere dal reparto HR dell’azienda della vittima.
In questi tentativi di phishing, gli hacker inviano e-mail con allegato un semplice documento PDF di una o due pagine che include un codice QR da scansionare con il telefono per visualizzare un file, firmare un documento o ascoltare un messaggio vocale. Così facendo, le vittime vengono portate su un sito web fasullo, progettato appositamente per rubare i loro dati.
- Infostealer avanzati per l’esfiltrazione dei dati
Questa tecnica prevede l’utilizzo di un sofisticato malware infostealer in grado di prelevare file PDF e directory dalla maggior parte delle cartelle, oltre a informazioni sul browser come cookie, dettagli delle carte di credito memorizzati, estensioni relative a bitcoin e cronologia web, che gli aggressori trasmettono poi a un account e-mail remoto come allegato zippato.
Secondo i ricercatori di Barracuda, generalmente l’attacco inizia con un’e-mail di phishing che invita il destinatario ad aprire un ordine di acquisto allegato. L’allegato contiene un’immagine disco, al cui interno si trova a sua volta un altro file che scarica ed esegue una serie di payload dannosi. Il payload finale è l’infostealer, uno script Python offuscato e crittografato.
La maggior parte degli attacchi di phishing è sì associata al furto di dati, ma questa tattica in particolare è pensata per portare a termine l’esfiltrazione di una quantità di informazioni molto più vasta delle altre, che può essere ulteriormente sfruttata per nuove attività malevole, come spostamenti laterali o frodi finanziarie.
- Phishing attraverso le piattaforme di creazione di contenuti
Gli esperti di Barracuda hanno scoperto anche attacchi di phishing che sfruttano piattaforme di creazione di contenuti e di collaborazione che vantano milioni di utenti in tutto il mondo e sono ampiamente utilizzate da scuole, grafici e aziende.
Secondo quanto emerso, gli hacker inviano e-mail da queste piattaforme, con post, progetti e documenti dall’aspetto legittimo, ma contenenti link di phishing incorporati.
Chi clicca sui link viene indirizzato a pagine di login fraudolente o ad altri siti ingannevoli, sempre al fine di sottrarre illegalmente informazioni preziose. In un caso riscontrato dai ricercatori, ad esempio, la piattaforma viene utilizzata per ospitare un link di phishing vocale, una tattica nota anche come vishing. Una volta che l’utente clicca per avviare la riproduzione del messaggio audio, viene rimandato a una falsa pagina di login di Microsoft in cui inserire le credenziali di accesso.
“Le organizzazioni devono adottare un approccio multilivello alla sicurezza delle e-mail, dotato di funzionalità di intelligenza artificiale avanzate che analizzino non solo i link e gli allegati, ma anche i potenziali tentativi di impersonificazione all’interno degli allegati stessi. Allo stesso tempo, non bisogna dimenticare che anche la formazione degli utenti sui rischi legati alla scansione di codici QR provenienti da fonti sconosciute o dubbie è essenziale. Inoltre, assicurarsi che i filtri antispam e antimalware siano configurati correttamente, effettuare controlli regolari sulle impostazioni dei gateway della posta elettronica e abilitare l’autenticazione a più fattori migliorerà in modo significativo il livello di protezione generale”, conclude Adam Khan, VP Global Security Operations di Barracuda.
In Barracuda cerchiamo di rendere il mondo un posto più sicuro. Crediamo che ogni organizzazione meriti l’accesso a soluzioni di sicurezza di fascia enterprise cloud-first, semplici da acquistare, implementare e utilizzare. Proteggiamo e-mail, reti, dati e applicazioni con soluzioni innovative in grado di crescere e adattarsi al crescere delle esigenze dei nostri clienti. Centinaia di migliaia di organizzazioni in tutto il mondo si affidano a Barracuda per proteggersi da rischi, affinché possano concentrarsi sulla crescita del proprio business. Per ulteriori informazioni: barracuda.com.