Da YouTube a SharePoint, le vie del phishing sono infinite. I ricercatori di Kaspersky mettono in guardia su alcune nuove tendenze del cybercrimine, ovvero truffe che sfruttano popolari servizi di Google e strumenti di produttività di Microsoft molto usati in ambito lavorativo. In alcuni casi entrano in gioco anche le criptovalute.
Tra dicembre 2022 e gennaio 2023 i tentativi di phishing basati sull’imitazione di servizi di Google sono cresciuti del 189% nei rilevamenti di Kaspersky. Si tratta di pagine progettate per attirare gli utenti e spingerli a fornire le proprie credenziali di accesso agli account Google, ai quali sono collegati i canali YouTube.
Uno schema di truffa tipico è quello in cui gli attaccanti ottengono l’accesso all’account di un popolare vlogger, cambiano lo sfondo e l’avatar del profilo, quindi iniziano a trasmettere i propri video. Uno di questi video, dedicato alle criptovalute e che sfruttava un canale già esistente, è stato usato per convincere le persone a cliccare su un codice QR: uno dei link conduceva su una pagina fraudolenta che avrebbe ospitato una lotteria di criptovalute, mettendo a rischio il denaro e i dati personali degli utenti.
“Gli attacchi di phishing continuano a evolversi e a diventare sempre più sofisticati”, ha commentato Roman Dedenok, security expert di Kaspersky. “I criminali informatici sfruttano servizi online popolari come Google per ingannare gli utenti e indurli a fornire le loro informazioni personali. L’aumento dello sfruttamento malevolo dei contenuti video, come si è visto in questa recente cryptoscam su YouTube, aggiunge un ulteriore livello alle truffe, rendendo ancora più difficile per gli utenti distinguere tra la realtà e l’illegalità. È essenziale che gli utenti adottino misure proattive per proteggere i propri account e dati, come l’utilizzo di password forti, l’autenticazione a due fattori e soluzioni di sicurezza affidabili”.
Altra tendenza osservata da Kaspersky è la diffusione di link di phishing attraverso server SharePoint violati. I link vengono nascosti all’interno di file che vengono poi condivisi attraverso notifiche email. Gli utenti rischiano di cascare nella trappola leggendo una frase familiare come “Qualcuno ha conviso un file con te”, e in effetti la notifica è del tutto legittima mentre il problema sta nel link nascosto all’interno del file.
Quando il destinatario clicca sulla notifica, apprende che qualcuno ha condiviso con lui un file OneNote. Aprendo tale file si vede comparire un’ulteriore notifica con l’icona (a grandi dimensioni) di un altro tipo di file, per esempio un Pdf, su cui si viene invitati a cliccare. Qui si nasconde un link diretto su un sito Web che simula la pagina di login di Microsoft OneDrive. Se l’utente esegue l’accesso, i criminali ottengono le sue credenziali Microsoft, potenzialmente collegate a vari account di posta, tra cui Office 365, Outlook e Yahoo!.
Un sito Web di phishing rilevato da Kaspersky
Tra dicembre e febbraio scorsi gli esperti di Kaspersky hanno rilevato più di 1.600 notifiche dannose di questo tipo in diverse zone geografiche, tra cui Italia, Austria, Francia, India, Giappone, Paesi Bassi, Russia, Singapore, Corea del Sud, Spagna e Stati Uniti. I numeri sono elevati ma non massicci, tuttavia il fenomeno va preso in seria considerazione: una tattica di questo tipo aiuta i criminali a eludere i filtri antispam e spesso riesce a ingannare il destinatario, specie se la sua azienda utilizza SharePoint.
"Prima di tutto, il file è sconosciuto, così come il mittente”, ha sottolineato Dedenok. “Generalmente i colleghi non condividono documenti senza un’introduzione. Inoltre, ci sono altri segnali: un link al file OneNote all’interno della notifica e un file Pdf che appare sul server all’improvviso. Peraltro, il link per il download porta a un sito di terze parti, il cui indirizzo Web non è collegato all’organizzazione della vittima o al server SharePoint. Il sito di phishing imita la pagina di login di OneDrive, un altro servizio Microsoft non collegato a SharePoint. Per essere sicuri, è necessario prestare attenzione a tutte le e-mail sospette e verificare la presenza di tali incongruenze”.