Come rilevato da Libraesva, c’è un nuovo arrivato nel panorama delle minacce informatiche via email: si tratta di una forma di campagna di email phishing che utilizza Google reCAPTCHA (ovvero quel processo di approvazione volto a richiedere l’interazione dell’utente prima di consegnare i contenuti effettivi della pagina) per aggirare la sandbox di protezione dal click-time.
“Abbiamo identificato due campagne di questo tipo, entrambe rivolte agli utenti di Office 365, finalizzate ad appropriarsi delle loro credenziali. I dettagli dell’implementazione suggeriscono che le due campagne non provengono dai medesimi artefici”, dichiara Rodolfo Saccani, Security R&D Manager di Libraesva.
In entrambi i casi, non appena l’utente clicca sul link contenuto nell’email ricevuta, il browser atterra sulla pagina vuota che contiene solo un reCAPTCHA di Google. È utile ricordare che il reCAPTCHA di Google nasce quale barriera per i servizi di scansione automatica, andando a filtrare e a lasciare passare solo gli esseri umani. In questo caso il reCAPTCHA, invece che per proteggere un servizio legittimo, protegge un sito malevolo dai sistemi automatici di sicurezza che altrimenti lo identificherebbero e lo bloccherebbero.
L’applicazione web phishing identificata dagli esperti di email security di Libraesva risulta essere costruita utilizzando React, un framework javascript ampiamente utilizzato. Il livello di competenze degli attaccanti è ben al di sopra della media di campagne di phishing.
Dopo che il reCAPTCHA ha confermato con successo che la visita alla pagina web proviene da un essere umano, viene visualizzata la pagina di atterraggio finale, ovvero quella di phishing reale, in cui avviene il furto delle credenziali complete dell’utente.
“Le campagne di phishing continuano a migliorare afferma Paolo Frizzi, CEO di Libraesva. Gli attaccanti si stanno dimostrando sempre più esperti e con competenze sofisticate. Eludendo l’ispezione da parte dei bot, puntano ad aumentare la longevità del sito di phishing ritardando il momento in cui il sito web viene inserito in blacklist e in cui i browser iniziano ad allertare gli utenti che lo visitano. Nel caso esemplificativo qui presentato, il sito di phishing rispondente al seguente dominio infiniteaudiovisual[.]com è ancora online e non risulta inserito in alcuna blacklist dopo già oltre una settimana.”
Come proteggersi in azienda?
“Per prevenire il rischio di finire in trappole sofisticate come questa è opportuno dotarsi di servizi di URL sandboxing” afferma Saccani.
Nel caso di Libraesva, la soluzione si chiama Libraesva URLSand che, visitando la pagina al momento del click-time – ovvero nel momento stesso in cui un utente fa clic su un link ricevuto via email – può permettersi di effettuare controlli più approfonditi sui contenuti del sito web e sul suo comportamento in reazione ai clic reali originati da vere e proprie email di phishing.
Da un punto di vista tecnico, significa quindi che oltre alla ricerca di toolkit e modelli di phishing, e al di là dell’analisi semantica ed euristica, a controlli di reputazione e apprendimento automatico, l’URLSand va attivamente alla ricerca di tentativi di evasione e di offuscamento per stanarli e analizzarne origine e comportamento.
“L’elusione del rilevamento è fondamentale, ma fornisce segnali utili all’analisi esperta di sistemi di sicurezza automatizzati specializzati e costantemente aggiornati dal nostro team di Esvalabs. Questo è l’approccio che permette al nostro URLSand di bloccare questa e altre minacce simili commenta Paolo Frizzi. Solo sistemi specializzati come URLSand di Libraesva possono proteggere efficacemente da minacce sempre più sofisticate e in continua evoluzione.”
Tra reCAPTCHA e buone pratiche di protezione dal phishing
Se si è dipendenti di un’azienda e da questa dotati di un device mobile per la reperibilità e l’attività in mobilità, o se si ricevono comuni email con link che portano ad ambienti web esterni, i suggerimenti di Libraesva rientrano nel buon senso di quando si naviga online. Particolare attenzione è da porre quando si utilizza un dispositivo cellulare che per la conformazione ridotta del suo schermo presenta una leggibilità più difficoltosa. Le buone pratiche per evitare di incorrere in un reCAPTCHA ‘nemico’ sono:
- Dopo avere verificato che l’email giunta in casella di posta elettronica proviene da un mittente conosciuto e che il suo contenuto non contenga errori di battitura o elementi che destano sospetto, subito dopo aver fatto clic sul link presente nell’email porre attenzione al dominio/URL che compare nel browser web. In caso presentasse dopo il WWW una stringa composta da numeri e lettere senza senso logico, conviene chiudere il browser e non procedere oltre nella navigazione
- Verificare che alla comparsa del form reCAPTCHA, la stringa di anteprima presente a fondo pagina (solitamente in basso a sinistra su desktop) risulti comprensibile e attinente a contenuti noti
- In caso si prosegua nella navigazione dopo il form reCAPTCHA, atterrando sulla pagina web finale desistere dall’inserire i propri dati personali (email, telefono, password) se la pagina presenta elementi che presentano errori di contenuto o grafici, malfunzionamento di caricamento (non sempre è colpa di una mancata copertura Wi-Fi o di segnale)
“La possibilità di disporre di un sistema di Sandboxing su server di posta resta la migliore protezione possibile per intercettare e bloccare gli attacchi di phishing”, conclude Saccani.
