Falso scanner di e-mail

Uno sguardo dettagliato a un sito di phishing mascherato da scanner di e-mail e ai suoi tentativi di imbrogliare le vittime.

Negli ultimi anni, le notizie relative alle infezioni via posta elettronica delle reti aziendali sono state abbastanza regolari (e generalmente collegate con i ransomware). Non sorprende quindi che gli scammer utilizzino periodicamente l’argomento per cercare di ottenere le credenziali degli account di posta aziendale, convincendo i dipendenti dell’azienda a eseguire una scansione della loro casella di posta.

Lo stratagemma è rivolto a persone che conoscono la potenziale minaccia dei malware nella posta elettronica, ma non hanno una comprensione sufficiente di come affrontare la questione. Il personale di infosec aziendale farebbe bene a spiegare certi trucchi ai dipendenti e a utilizzare gli esempi ch mostreremo in questo post per illustrare loro cosa cercare per non essere vittime dei cybercriminali.

E-mail di phishing

Questo messaggio di truffa utilizza l’antico trucco dell’intimidazione delle vittime. Lo si può vedere proprio nell’intestazione, che recita “allarme virus” seguito da tre punti esclamativi. Per quanto insignificante possa sembrare la punteggiatura, è la prima cosa che dovrebbe far capire al destinatario che c’è puzza di bruciato. La punteggiatura non necessaria in una e-mail di lavoro è un segno di drammaticità o di mancanza di professionalità. In entrambi i casi, non è adeguata per una notifica che si suppone sia intesa a trasmettere informazioni su una minaccia.

E-mail di phishingLa domanda numero uno che il destinatario dovrebbe porsi è la seguente: chi ha inviato il messaggio? Nell’e-mail si afferma che, in caso di mancato intervento, l’account del destinatario verrà bloccato. Potrebbe essere logico supporre che sia stato inviato dal servizio informatico del server di posta aziendale o dai dipendenti del provider del servizio di posta.

Ma è importante capire che nessun provider o servizio interno richiederebbe l’intervento dell’utente per scansionare il contenuto della casella di posta elettronica, perché la scansione avviene automaticamente sul server. Inoltre, “l’attività virus” si verifica raramente all’interno di un account. Anche se qualcuno inviasse un virus, il destinatario dovrebbe scaricarlo ed eseguirlo. L’infezione avviene sul computer, non nell’account di posta.

Tornando alla domanda, dando uno sguardo al mittente si notano immediatamente due campanelli d’allarme. In primo luogo, l’e-mail è stata inviata da un account Hotmail, mentre una notifica legittima mostrerebbe il dominio dell’azienda o del provider. In secondo luogo, si afferma che il messaggio proviene dal “team di sicurezza della posta elettronica”. Se l’azienda del destinatario utilizza un provider di servizi di posta elettronica di terze parti, il suo nome dovrebbe comparire nella firma. E se il server di posta si trova nell’infrastruttura aziendale, la notifica arriverà dall’IT interno o dal servizio di infosec, e le possibilità che un intero team sia responsabile esclusivamente della sicurezza della posta elettronica sono minime.

Il secondo campanello d’allarme ha a che fare con il link. La maggior parte dei moderni client di posta elettronica mostra l’URL celato dal link. Se il destinatario viene invitato a cliccare su uno scanner di posta elettronica situato in un dominio che non appartiene né alla vostra azienda né al servizio di posta, si tratta quasi certamente di phishing.

Sito di phishing

Il sito sembra una specie di scanner di e-mail online. Per paventare autenticità, mostra i loghi di una serie di vendor antivirus. L’intestazione vanta persino il nome della società del destinatario, che ha lo scopo di spazzare ogni dubbio su quale sia il suo strumento. Il sito simula prima una scansione, poi la interrompe con il messaggio sgrammaticato del tipo “Confermate il vostro account qui sotto per completare scansione e-mail e cancellare tutti i file infetto”. Naturalmente, è necessario indicare la password dell’account.

Interfaccia scanner di phishingPer verificare la natura del sito, iniziate cesaminando il contenuto della barra degli indirizzi del browser. In primo luogo, come già detto, non è sul dominio giusto. In secondo luogo, l’URL contiene molto probabilmente l’indirizzo e-mail del destinatario. Questo di per sé va bene, l’ID utente potrebbe essere stato passato attraverso l’URL. Ma in caso di dubbi sulla legittimità del sito, sostituite l’indirizzo con caratteri arbitrari (ma conservate il simbolo @ per mantenere l’aspetto di un indirizzo e-mail).

I siti di questo tipo utilizzano l’indirizzo passato dal link nell’e-mail di phishing per riempire gli spazi vuoti nel modello di pagina. A titolo di esperimento, abbiamo utilizzato l’indirizzo inesistente victim@yourcompany.org, e il sito ha debitamente sostituito “yourcompany” nel nome dello scanner, e l’intero indirizzo nel nome dell’account, dopodiché sembra abbia iniziato a scansionare gli allegati inesistenti di e-mail altrettanto inesistenti. Ripetendo l’esperimento con un indirizzo diverso, abbiamo visto che i nomi degli allegati in ogni “scansione” erano gli stessi.

Il sito del falso scanner sta simulando una scansioneUn’altra incongruenza è che si suppone che lo scanner analizzi il contenuto della casella di posta senza autenticazione. Allora perché c’è bisogno della password?

Come proteggere i dipendenti dal phishing

Abbiamo analizzato in dettaglio i segnali di phishing sia nella e-mail che nel sito web del falso scanner. Il semplice fatto di mostrare questo post ai dipendenti darà loro un’idea approssimativa di cosa cercare. Ma questa è solo la punta del proverbiale iceberg. Alcune e-mail false sono più sofisticate e più difficili da individuare.

Pertanto, raccomandiamo la formazione continua sulle ultime minacce informatiche, ad esempio, utilizzando la nostra Kaspersky Automated Security Awareness Platform.

Inoltre, raccomandiamo l’utilizzo di soluzioni di sicurezza in grado di rilevare le e-mail di phishing sul server di posta e di bloccare i reindirizzamenti ai siti di phishing dalle workstation. Kaspersky Security for Business fa entrambe le cose. Inoltre, offriamo una soluzione che migliora i meccanismi di protezione integrati di Microsoft Office 365.

Consigli