Gli attacchi di phishing stanno diventando estremamente sofisticati. Ecco a cosa prestare attenzione

Le campagne di phishing utilizzano falsi profili di social media, ricerche approfondite e altro ancora per indurre vittime ignare a fare clic su collegamenti dannosi.

Gli hacker fanno di tutto, tra cui imitando persone reali e creando e aggiornando falsi profili di social media, per indurre le vittime a fare clic su collegamenti di phishing e consegnare nomi utente e password.


L'allarme del National Cyber Security Centre (NCSC) del Regno Unito, il braccio di sicurezza informatica del servizio di intelligence GCHQ, avverte che gli attacchi di phishing stanno prendendo di mira individui e organizzazioni in una vasta gamma di settori.


L'obiettivo finale degli attacchi di phishing è indurre la vittima a fare clic su collegamenti dannosi che indirizzano a pagine di accesso false, ma dall'aspetto realistico, in cui la vittima inserirà le proprie credenziali di accesso, fornendo agli aggressori l'accesso al proprio account, che gli hacker abusano direttamente o utilizzare per ottenere l'accesso ad altre vittime.


Molti dei collegamenti dannosi sono progettati per assomigliare a software cloud e strumenti di collaborazione di uso comune, tra cui OneDrive, Google Drive e altre piattaforme di condivisione di file. In un caso, gli aggressori hanno persino organizzato una chiamata Zoom con la vittima, quindi hanno inviato un URL dannoso nella barra della chat durante la chiamata. Hanno anche creato più caratteri nel thread di phishing (tutti controllati dagli aggressori) per aggiungere l'apparenza di legittimità.


La prima fase degli attacchi di spear-phishing è la ricerca e la preparazione, con gli aggressori che utilizzano profili pubblicamente disponibili, come social media e piattaforme di rete, per scoprire il più possibile sugli obiettivi, compresi i loro contatti professionali e personali nel mondo reale .


È anche comune che gli aggressori creino falsi social media e profili di rete basati su persone reali per aiutare a rendere gli approcci convincenti, mentre alcuni degli approcci sono progettati per sembrare correlati a eventi reali, ma sono falsi.


Secondo NCSC, le campagne sono opera di cyber attaccanti con sede in Russia e Iran. Le campagne russa e iraniana non sono correlate, ma le tattiche si sovrappongono perché sono efficaci nell'indurre le persone a cadere vittime di attacchi di phishing. Indipendentemente da chi stiano impersonando gli aggressori o quale esca stiano utilizzando, una caratteristica comune a molte delle campagne di spear phishing è il modo in cui prendono di mira gli indirizzi e-mail personali.


È probabile che questa tattica venga utilizzata per aggirare eventuali controlli di sicurezza informatica in atto su account e reti aziendali, sebbene anche gli indirizzi e-mail aziendali o aziendali siano stati presi di mira.


Un'altra tecnica chiave alla base di queste campagne di phishing è la pazienza degli aggressori, che impiegano tempo per costruire un rapporto con i loro obiettivi. Questi aggressori non si tuffano immediatamente, chiedendo al loro obiettivo di fare clic su un collegamento dannoso o aprire un allegato dannoso. Invece, costruiscono la fiducia lentamente.


Questo processo di solito inizia con una prima email che sembra benevola, spesso correlata a un argomento che, grazie a una preparazione meticolosa, ha un'alta probabilità di essere interessante e coinvolgente per il loro target.


Gli aggressori invieranno quindi e-mail avanti e indietro con il loro obiettivo, a volte per un periodo prolungato, in attesa di aver raggiunto il livello di fiducia necessario affinché la vittima non abbia remore ad aprire un collegamento o un allegato.


Il collegamento dannoso verrà inviato sotto forma di un documento o di un sito Web interessante e rilevante per la vittima, ad esempio un invito a una conferenza o un'agenda, che reindirizza la vittima a un server controllato dall'aggressore.


Quando la vittima inserisce il nome utente e la password per accedere al collegamento dannoso, questi dettagli vengono inviati agli aggressori, che ora possono sfruttare le e-mail e gli account aggiuntivi della vittima.


Secondo NCSC, questo sfruttamento include il furto di informazioni e file dagli account, nonché il monitoraggio di e-mail e allegati futuri che la vittima invia e riceve.


Gli aggressori hanno anche utilizzato l'accesso all'account e-mail di una vittima per inserire i dati della mailing list e gli elenchi di contatti, che sono informazioni che vengono poi sfruttate per campagne successive, con gli aggressori che utilizzano l'indirizzo e-mail compromesso per condurre ulteriori attacchi di phishing contro altri.


"Queste campagne di attori delle minacce con sede in Russia e Iran continuano a perseguire spietatamente i loro obiettivi nel tentativo di rubare credenziali online e compromettere sistemi potenzialmente sensibili", ha affermato Paul Chichester, direttore delle operazioni dell'NCSC.


"Incoraggiamo fortemente le organizzazioni e gli individui a rimanere vigili su potenziali approcci e seguire i consigli di mitigazione nell'avviso per proteggersi online", ha aggiunto.


NCSC avverte gli utenti di essere vigili e alla ricerca di tecniche dettagliate nell'avviso, come e-mail che pretendono di essere correlate a circostanze professionali, che vengono inviate a indirizzi e-mail personali.


Si consiglia di utilizzare una password complessa per proteggere il proprio account e-mail, una password separata dalle password di qualsiasi altro account, in modo che, nel caso in cui gli aggressori riescano in qualche modo a rubare la password dell'e-mail, non possano utilizzarla per ottenere accesso agli altri tuoi account.


Un altro modo per proteggere il tuo account dagli attacchi di phishing è attivare l'autenticazione a più fattori, che può impedire agli hacker di accedere al tuo account, anche se conoscono la tua password, oltre a fornirti un avviso che le tue credenziali potrebbero essere state compromesse .


Dovresti anche proteggere il tuo dispositivo e la tua rete applicando gli ultimi aggiornamenti di sicurezza, che è qualcosa che può impedire agli aggressori di sfruttare le vulnerabilità note del software per sferrare attacchi o ottenere l'accesso al tuo account.