Una insidiosa campagna di phishing sfrutta particolari URL per carpire le credenziali Gmail delle vittime dirottandole su una finta pagina di autenticazione “Gmail.”
Oggi ho deciso di condividere con voi la conoscenza di una campagna di phishing estremamente insidiosa che sta creando non pochi problemi anche agli utenti più attenti.
Tutti conosciamo il phishing e riteniamo di essere più o meno in grado di scoprire se una mail è autentica o meno, tuttavia una nuova insidiosa campagna preoccupa gli esperti.
Leggi anche: “Angler-phishing: proteggi la tua email per non farti prendere all’amo dai truffatori“
L’obiettivo dei criminali informatici sono le credenziali Gmail, è per rubarle stanno adottando da alcuni mesi una singolare strategia.
Parlarne, condividere la conoscenza su questa metodica criminale è un atto dovuto, in questo modo potremo sensibilmente limitare l’efficacia della minaccia.
La nuova campagna di phishing che attacca Gmail
Ci troviamo dinanzi ad una campagna di phishing che sfrutta particolari URL (gli indirizzi che trovate anche nella barra del vostro browser) per carpire le credenziali Gmail delle vittime dirottandole su una finta pagina di autenticazione “Gmail.”
Per quale motivo la mail che arriva all’utente potrebbe ingannarlo?
- L’utente si vede recapitare una mail da un suo contatto
- La mail ha nel suo corpo un immagine che riproduce quella degli allegati in Gmail. Trattasi dell’immagine di un allegato PDF.
- Il browser non visualizza nessun alert relativo al certificato digitale in uso.
Il codice offuscato della Url
Ispezionando l’URL: “data:text/html,https://accounts/google.com,” gli esperti hanno notato che la parte dell’URL legittima è seguita da una serie di spazi bianchi che sono utilizzati per far sì che l’utente non veda una stringa sospetta appesa alla fine, e che contiene un codice “offuscato” (non comprensibile ad un utilizzatore) che ha il compito di aprire la pagina di phishing che replica quella di Gmail. In pratica questo indirizzo può trarre in inganno anche i più attenti.
L’utente che riceve la mail, abituato all’uso di Gmail, è indotto a cliccare sull’immagine dell’allegato per visualizzare un’anteprima del documento, ma in realtà è ridiretto ad una falsa pagina di autenticazione Gmail.
I più tecnici potranno leggere un’analisi completa dell’attacco disponibile sul Github.oppure un interessante blog post pubblicato dagli esperti dell’azienda WordFence.
L’attacco si diffonde a tutta la rubrica dei contatti
La tecnica descritta in realtà è nota da tempo, abbiamo notizia di attacchi simili da luglio dello scorso anno, la reale novità di quest’ultima ondata di attacchi è che i criminali accedono immediatamente alla casella delle vittima appena ricevono le credenziali e lanciano l’attacco contro tutti gli indirizzi in rubrica. In queste settimane ci si interroga se l’attacco non sia stato automatizzato in qualche modo. I criminali potrebbero infatti utilizzare un sistema che appena ricevute le credenziali prenda possesso della casella della vittima.
Meglio abilitare la doppia autenticazione di Gmail
Abilitare il doppio fattore di autenticazione per Gmail potrebbe sicuramente mitigare la minaccia, tuttavia proprio per il fatto che l’attaccante accede immediatamente alla casella della vittima, potrebbe contestualmente richiederle il codice di autenticazione.
Google è informata degli attacchi almeno dal Marzo 2016, al momento gli esperti di Big G si sono limitati a proporre l’introduzione di un tag “non sicuro” per indirizzi che usano le clausole ‘data:’, ‘blob,’ etc., gli stessi in uso per gli URL di questa campagna di phishing.
