Threat Spotlight, la rubrica mensile del blog di Barracuda Networks, questo mese prende in esame la minaccia Invoice Impersonation, un attacco via email che tenta di convincere il destinatario a compiere un’azione su una falsa fattura. Quella dell’impersonation si conferma una tattica molto sperimentata dai cybercriminali, che si impegnano a mettere insieme tentativi di “travestimento” efficaci per convincere le vittime di avere a che fare con un messaggio importante.
Gli esperti di Barracuda hanno rilevato una nuova ondata di messaggi inviati da malintenzionati che richiedono un aggiornamento di stato su false fatture.
In questo primo esempio viene richiesta una risposta riguardo al pagamento di una fattura, nella quale viene indicato il numero e un link per scaricarla. Il nome del mittente è scelto accuratamente dal criminale per assomigliare a qualcuno che il destinatario conosce e di cui si fida.
Il messaggio in sé sembra del tutto normale, ma la presenza di un link dovrebbe destare qualche sospetto. L’obiettivo di questo tentativo è fare in modo che il destinatario clicchi sul link, la cui collocazione nel corpo del messaggio non è casuale.
Quando il link viene cliccato, parte il download di un file .doc (la presunta “fattura”) che normalmente contiene qualche tipo di minaccia avanzata che potrebbe attivare un ransomware o rubare le credenziali del destinatario.
In questo secondo esempio, vediamo un attacco simile che utilizza un’email nella quale, viene comunicato l’aggiornamento dell’indirizzo come pretesto affinché il destinatario clicchi sul link.
Come si può vedere, anche in questo messaggio non c’è nulla di strano, ma sono presenti gli stessi elementi che avevano insospettito nel primo esempio. Nel corpo della mail è sempre presente un link che potrebbe essere malevolo e anche qui si richiede un’azione relativamente a una fattura. Il clic sul link avrebbe quasi certamente lo stesso effetto: download di un malware o furto di credenziali che potrebbe portare alla compromissione dell’account.
Poiché la diffusione di questi tentativi continua a crescere, È importante essere consapevoli dei segnali che dovrebbero generare qualche sospetto. Entrambi gli esempi presentano una richiesta di pagamento e un link, due elementi sicuramente sospetti. È sempre bene muoversi con circospezione quando si ricevono richieste di pagamento via email e, se vi è anche il minimo dubbio, è consigliabile attuare ogni sorta di controllo prima di rispondere alla richiesta. Inoltre, è bene ricordare che qualunque link potrebbe essere malevolo, per cui, a meno che siate assolutamente certi che il link è sicuro, non cliccateci.
Ricapitolando, le tecniche usate in questo attacco sono:
- Impersonation – Il mittente finge di essere qualcuno che il destinatario conosce e di cui si fida.
- Urgenza – Il criminale chiede che venga compiuta un’azione relativamente a una importante fattura.
Come agire
Formazione dell’utente – I dipendenti dovrebbero ricevere una formazione costante, valutando la loro conoscenza dei vari tipi di attacchi. La formazione basata su attacchi simulati è sicuramente la più efficace. Controllate sempre il dominio mittente nelle email che chiedono di compiere qualche azione, dal clic all’immissione di informazioni.
Aggiungere alla formazione del personale una soluzione per la sicurezza delle mail che offra protezione avanzata e tecniche di sandboxing dovrebbe bloccare il malware prima ancora che raggiunga i server di posta aziendali. È inoltre possibile installare un sistema di protezione antiphishing che cerca i link ai siti che contengono codice malevolo. Tutti i link a siti compromessi vengono bloccati anche se sono nascosti nel contenuto di un documento.