Google Translate e il phishing

Perché un’e-mail aziendale dovrebbe contenere un link a Google Translate?

Quando analizziamo i trucchi utilizzati dai cybercriminali, consigliamo sempre di osservare attentamente l’URL prima di cliccare su un link contenuto in un’e-mail. Un campanello d’allarme potrebbe essere un link che porta ad una pagina tradotta con Google Translate. In teoria, potrebbe essere che il mittente dell’e-mail vi stia invitando a visitare un sito in una lingua diversa dalla vostra e stia cercando di essere utile. In realtà, però, questa tecnica viene utilizzata soprattutto per aggirare i meccanismi anti-phishing. Se il messaggio fa parte di una comunicazione commerciale e il sito che si apre dopo aver cliccato sul link richiede l’inserimento delle credenziali della vostra email, chiudete subito la finestra del browser e cancellate l’e-mail.

Perché gli hacker utilizzano i link di Google Translate

Esaminiamo un esempio recente di phishing che impiega un link di Google Translate e che è stato scoperto dalle nostre mani esperte:

 

Email con un link a Google Translate.

I mittenti dell’e-mail affermano che l’allegato è una specie di documento di pagamento a disposizione esclusiva del destinatario, e che deve essere analizzato per una “presentazione di una riunione contrattuale e dei successivi pagamenti”. Il link del pulsante “Apri” rimanda a un sito tradotto da Google Translate. Questo però diventa chiaro solo cliccandoci sopra, perché nell’e-mail appare così:

Link del pulsante "Apri

La strana dicitura è forse intenzionale: un tentativo degli hacker di creare l’impressione di non essere madrelingua inglese per far sembrare il link di Google Translate più convincente. O forse non hanno mai visto una vera e-mail con documenti finanziari. Prestate attenzione ai due link sottostanti (“Unsubscribe From This List” e “Manage Email Preferences”), nonché al dominio sendgrid.net presente nel link.

Si tratta di indizi che indicano che il messaggio non è stato inviato manualmente, ma attraverso un servizio di mailing legittimo, in questo caso il servizio SendGrid, ma potrebbe essere stato utilizzato qualsiasi altro ESP (email service provider). I servizi di questo tipo normalmente proteggono la loro reputazione e cancellano periodicamente le campagne di posta elettronica finalizzate al phishing e bloccano i creatori. Ecco perché gli hacker fanno passare i loro link attraverso Google Translate: i meccanismi di sicurezza dell’ESP vedono un dominio Google legittimo e non considerano il sito come sospetto. In altre parole, si tratta di un tentativo di ingannare non solo l’utente finale, ma anche i filtri del servizio di intermediazione.

Che aspetto ha un link che porta a una pagina tradotta da Google Translate?

Google Translate consente di tradurre interi siti web semplicemente passandogli un link e selezionando la lingua di partenza e quella di arrivo. Il risultato è un link a una pagina in cui il dominio originale è stato modificato con dei trattini e l’URL è stata completato dal dominio translate.goog, seguito dal nome della pagina originale e da elementi che indicano le lingue da e verso cui è stata effettuata la traduzione. Ad esempio, l’URL della traduzione in spagnolo della home page del nostro blog in lingua inglese www.kaspersky.com/blog avrà il seguente aspetto: www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.

L’e-mail di phishing che abbiamo analizzato cercava di attirare l’utente qui:

Imitazione della pagina di login della webmail

La barra di indirizzo del browser, nonostante la stringa di caratteri strani, mostra chiaramente che il link è stato tradotto con Google Translate.

Come proteggersi

Per evitare che i dipendenti di una azienda cadano nelle trappole dei cybercriminali, è consigliabile organizzare delle sessioni periodiche di formazione per aggiornare le loro conoscenze sul phishing (ad esempio, inviando loro i link pertinenti al nostro blog) o, meglio ancora, sensibilizzarli sulle moderne minacce informatiche con l’aiuto di strumenti di apprendimento specifici. Tra l’altro, nell’esempio di cui sopra, un utente esperto non sarebbe mai arrivato fino alla pagina di phishing: le probabilità che un documento finanziario legittimo indirizzato a un destinatario specifico venga inviato attraverso un servizio ESP sono piuttosto scarse. Qualche tempo fa, abbiamo pubblicato un articolo sul phishing basato su ESP.

Per proteggersi ancora di più, consigliamo inoltre di utilizzare soluzioni con tecnologie anti-phishing sia a livello di server email aziendale che su tutti i dispositivi dei dipendenti.

Consigli