Criminali informatici sfruttano il servizio di traduzione online Google Translate in una campagna di phishing volta al furto di credenziali di accesso ad account Google e Facebook.
L’esperto di sicurezza Larry Cashdollar, membro del Security Intelligence Response Team (SIRT) dell’azienda di sicurezza Akamai, ha scoperto una nuova singolare compagna di phishing basata su Google Translate.
Cashdollar ha constatato che criminali informatici stanno conducendo una nuova campagna di phishing che sfrutta Google Translate per ingannare le vittime.
Finally, I get to collaborate with @SteveD3 on some research -> Phishing Attacks Against Facebook / Google via Google Translate – Akamai Security Intelligence and Threat Research Blog https://t.co/0oif3jBKOa
— Larry W. Cashdollar r00t folding team #258829 (@_larry0) February 5, 2019
L’utilizzo di Google Translate consente agli attaccanti di incrementare l’efficacia della loro campagna rendendo più difficile individuare le mail fraudolente da parte delle potenziali vittime.
La scelta del popolare servizio di Google consente agli attaccanti di mascherare la pagina di phishing come una pagina legittima presente su un un dominio Google.
In pratica le vittime vedono presentarsi una pagina di login il cui indirizzo riferisce una pagina del dominio Google, in realtà ciò è possibile perché la pagina indirizzata è la traduzione attraverso Google Translate della pagina di phishing.
Tale tecnica è estremamente difficile da rilevare quando l’utente utilizza un  browser su dispositivi mobili.
Le mail di phishing utilizzate in questa campagna si presentano come avvisi inviati da Google che informano gli utenti di un presunto accesso ai loro account effettuato da un nuovo dispositivo Windows. Le e-mail malevoli utilizzano come oggetto il testo “Avviso di sicurezza” e tentano di indurre le vittime a cliccare sul pulsante “Consulta l’attività ” per ricevere ulteriori informazioni sul potenziale accesso non autorizzato.
Quando un utente fa clic sul link presente nel corpo del messaggio di phishing, verrà reindirizzato a una pagina di Google Translate che apre una pagina di phishing che appare come una pagina di login per un account Google.
L’esperto ha sottolineato che questo tipo di attacco potrebbe essere facilmente rilevato dagli utenti che utilizzano browser su sistemi desktop perché la barra degli strumenti Google Translate è visibile e facilmente riconoscibile.
Sui browser mobili la situazione si complica per gli utenti in quanto la barra Google per la traduzione si confonde con la pagina stessa essendo l’interfaccia Google Translate minima sui dispositivi mobili.
“L’uso di Google Translate è utile a diversi scopi come riempiere la barra degli indirizzi con una sequenza di testo casuale, ma la cosa più importante è che la vittima vedrà un dominio Google legittimo. In alcuni casi, questo trucco consente di superare le difese dell’endpoint ” si trova scritto nell’ analisi pubblicata da Cashdollar.
“Tuttavia, mentre questa tecnica di offuscamento potrebbe avere un discreto successo sui dispositivi mobili (la pagina di destinazione è un clone quasi perfetto della vecchia pagina di autenticazione di Google), è completamente fallimentare quando la pagina viene visualizzata da un computer.”
Quando le vittime forniscono le credenziali per accedere ai loro account Google e Facebook attraverso la pagina di phishing, uno script invierà le stesse all’autore dell’attacco via email.
Una volta ottenute le credenziali della vittima, gli aggressori effettuano un secondo attacco di phishing per tentare di ottenere anche le credenziali di Facebook.
Secondo Cashdollar, la pagina di phishing di Facebook non è stata ottimizzata per i dispositivi mobili e per questo motivo è facilmente individuabile anche da parte di una utenza non esperta.
“Alcuni attacchi di phishing sono più sofisticati di altri. In questo caso, l’attacco è stato facilmente individuabile in cui ho controllato il messaggio sul mio computer oltre a vederlo sul mio dispositivo mobile. Tuttavia, altri attacchi più sofisticati riescono ad ingannare migliaia di persone ogni giorno, persino i professionisti IT e di sicurezza. “Conclude l’esperto.
“La miglior difesa è l’attacco. Ciò significa prendersi il tempo necessario per esaminare il messaggio prima di intraprendere qualsiasi azione.”
La tecnica che abbiamo discusso in questo post è la dimostrazione che la creatività dell’impresa criminale può talvolta riuscire ad ingannare anche esperti del settore IT sfruttando trucchi di una disarmante semplicità .