Microsoft, Dhl, Google: sono queste le aziende sul “podio”, per così dire, del phishing e più precisamente del brand phishing. Questi i tre nomi e marchi più contraffatti e sfruttati dai truffatori informatici per accalappiare all’amo gli utenti, secondo la periodica classifica di Check Point. Qualche mese fa al terzo posto c’era Whatsapp, scomparsa invece dal top-10 del primo trimestre 2021, mentre Microsoft e Dhl confermano i rispettivi “oro” e “argento”. Ma nessuna azienda ambirebbe a posizionarsi ai piani alti di questa classifica.
Il nome di Microsoft, dei suoi software e servizi è stato usato nel 39% dei tentativi di phishing rilevati da Check Point a gennaio, febbraio e marzo 2021. Questo è certamente un segno del tentativo di intercettare i molti lavoratori connessi a Internet e alle applicazioni aziendali in smart working, dato che Microsoft produce molti degli applicativi di produttività più popolari sul mercato, dalla suite di Office365 alla piattaforma Ucc di Teams.
Seguono, nella rosa dei dieci nomi più sfruttati, Dhl (18%) Google (9%), la piattaforma di videogaming Roblox (6%), Amazon (5%), le società di servizi bancari Wells Fargo (4%) e Chase (2%), LinkedIn (2%), Apple (2%) e Dropbox (2%). Come si nota, l’ambito tecnologico è quello più sfruttato e subito dopo viene quello dei servizi di spedizione, mentre al terzo c’è il settore bancario. Quest’ultimo ha surclassato il retail, che era invece al terzo posto nella classifica del quarto trimestre 2020.
Come funziona un attacco di brand phishing
Gli autori di un attacco di brand phishing cercano di imitare il sito ufficiale di un’azienda e il relativo logo, creando un domain name o Url e un design della pagina Web molto simili a quelli autentici. Il link al falso sito Web può essere inviato alle vittime tramite email, messaggi di testo o attraverso un’app mobile fraudolenta. Il sito Web fasullo spesso contiene un form di registrazione che, se compilato dalla vittima, permette di rubare le sue credenziali, informazioni personali e altre utili per sottrarre denaro da conti bancari o carte di credito.
Un sito Web di phishing che imita quello di Wells Fargo
Le finte email di Wells Fargo e Dhl
In un attacco di phishing osservato da Check Point, gli utenti hanno ricevuto messaggi di posta inviati dall’ingannevole indirizzo noreply@cc.wellsfargo.com, aventi come oggetto la frase “Il tuo accesso online è stato disabilitato”. Per scoprire che cosa fosse successo, l’utente veniva invitato a cliccare su un link, che portava su una pagina Web fasulla, creata in modo da somigliare al sito Web originale di Wells Fargo. Qui, l’utente veniva inviato a inserire username e password.
Altro esempio è la campagna che usava il marchio Dhl per installare sui dispositivi delle vittime un trojan che consentiva l’accesso da remoto. L’email, inviata da un indirizzo fasullo ma ben mascherato, aveva come oggetto la frase “Autorizzazione DHL Import - Spedizione: ”. Il messaggio invitava a scaricare un file “DHL-IVN.87463.rar”, che conteneva un file eseguibile dannoso, e da qui partiva l’infezione.