Analizzando il fenomeno del phishing con impersonificazione di brand a livello globale, o Brand Phishing, i settori più colpiti sono quelli tecnologico, delle spedizioni e il settore bancario, che arriva a superare anche il mondo del retail.
Quello di Microsoft è poi il Brand più spesso utilizzato dagli hacker negli attacchi di Brand Phishing: è quanto emerge dal “Brand Phishing Report” (primo trimestre 2021) di Check Point Research (CPR), division threat intelligence di Check Point Software Technologies. Tra i brand, anche due del mondo Banking – Wells Fargo e Chase – un tema grave perché significa inviare messaggi che riguardano pagamenti e che possono portare a frodi finanziarie. Microsoft è in cima a questa lista da due trimestri di fila, segnale che gli hacker continuano ad attaccare i lavoratori da remoto. DHL invece è al secondo posto e ciò mostra come gli hacker stiano seguendo con attenzione il trend degli acquisti online e delle loro spedizioni.
QUI il video commento di David Gubiani, Regional Director SE EMEA Southern di Check Point, che analizza la situazione e offre alcuni consigli.
Cos’è un attacco “Brand Phishing”?
In un attacco brand phishing, i cyber criminali cercano di imitare il sito ufficiale di un noto brand utilizzando un domain name, o un URL e un design della pagina web, molto simili a quelli del sito autentico. Il link al falso sito web può essere inviato alle vittime, indirizzando la loro navigazione web, tramite e-mail, messaggi di testo o attraverso un’app mobile fraudolenta. Il sito web falso spesso contiene un form destinato a rubare le credenziali degli utenti, i dettagli per il pagamento online o altre informazioni personali.
Esempio di un attacco a Wells Fargo
Nell’email phishing qui sotto, si può notare un tentativo di furto dell’informazioni di un conto Wells Fargo di un utente. L’email (vedi Figura 1), che è stata inviata dall’indirizzo email fasullo noreply@cc.wellsfargo.com, con l’oggetto “Il tuo accesso online è stato disabilitato”. L’hacker attirava la vittima a cliccare su un link dannoso, che reindirizzava a una pagina fraudolenta e pericolosa (vedi Figura 2), ma che assomigliava al vero sito web di Wells Fargo. Nel link, l’utente doveva ovviamente digitare il suo nome utente e la sua password – e per l’hacker il gioco è fatto!
Figura 1. Email malevola con oggetto: “Your Online access has been disabled”
Figura 2. Login page fraudolenta [https://d998a665f5%5B.%5Dnxcli%5B.%5Dnet/]https://d998a665f5[.]nxcli[.]net/
Esempio di un attacco Brand Phishing a DHL
In questo caso l’attacco utilizzava il brand DHL per scaricare il RAT (Remote Access Trojan) Agent Tesla sui dispositivi delle vittime. L’email (vedi Figura 3) inviata da un indirizzo fasullo ma ben mascherato, conteneva l’oggetto “Autorizzazione DHL Import – Spedizione: <numero>”. Il contenuto chiedeva di scaricare un file “DHL-IVN.87463.rar”, che conteneva un file eseguibile dannoso che andava a infettare il sistema con il RAT Agent Tesla.