Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di sicurezza informatica a livello globale, ha pubblicato il nuovo Brand Phishing Report per il Q1 2022. Il report evidenzia i brand che sono stati più frequentemente imitati dai criminali informatici con l’obiettivo di estorcere i dati personali o le credenziali di pagamento durante i mesi di gennaio, febbraio e marzo.
LinkedIn ha dominato la classifica per la prima volta in assoluto, con più della metà (52%) di tutti i tentativi di brand phishing durante il trimestre. Si tratta di un drammatico aumento, il 44% in più rispetto al trimestre precedente, dove il sito di networking professionale era in quinta posizione e rappresentava solo l’8% dei tentativi di phishing. LinkedIn ha superato DHL, che ora è in seconda posizione e rappresenta il 14% di tutti i tentativi di phishing durante il trimestre.
L’ultimo report dedicato al brand phishing evidenzia una nuova tendenza degli hacker: quella di colpire i social network, attualmente l’obiettivo numero uno, davanti a società di spedizioni o giganti della tecnologia come Google, Microsoft e Apple. Oltre al fatto che LinkedIn è il brand più bersagliato con un margine considerevole, ha mantenuto la sua posizione nella top ten, rappresentando quasi 1 su 20 attacchi di phishing in tutto il mondo. Il report riporta un particolare esempio: gli utenti di LinkedIn vengono contattati tramite una e-mail all’apparenza ufficiale contenente un link dannoso su cui cliccare. Una volta lì, gli utenti verrebbero nuovamente invitati ad accedere tramite un falso portale dove le loro credenziali verrebbero estorte.
La categoria “spedizione” è ora la seconda categoria più bersagliata, con i criminali informatici che continuano ad approfittare dell’aumento generale dell’e-commerce prendendo di mira direttamente i consumatori e le società di spedizione. DHL è seconda a LinkedIn, rappresentando il 14% dei tentativi di brand phishing; FedEx è passata dalla settima posizione alla quinta, ora con il 6% di tutti i tentativi di phishing; e Maersk e AliExpress sono entrati nella top ten per la prima volta. Il report mette in evidenza una particolare strategia di phishing, utilizzando e-mail a marchio Maersk per incoraggiare il download di documenti di trasporto fasulli, infettando le postazioni di lavoro con malware.
“Questi tentativi di brand phishing sono semplicemente opportunità per gli hacker. I gruppi criminali organizzano questi tentativi di phishing su larga scala, con l’obiettivo di convincere quante più persone possibili a condividere i propri dati personali”, ha dichiarato Omer Dembinsky, Data Research Group Manager di Check Point Software. “Alcuni attacchi punteranno a rubare informazioni personali di individui, come stiamo vedendo con LinkedIn. Altri saranno tentativi di distribuire malware sulle reti aziendali, come le false e-mail contenenti documenti di trasporto fasulli che stiamo vedendo con Maersk.”
“Se c’era qualche dubbio che i social media sarebbero diventati una delle categorie più colpite dai gruppi criminali, il primo trimestre li ha messi a tacere. Mentre Facebook è sceso dalla top ten, LinkedIn è salito al numero uno e rappresenta più della metà di tutti i tentativi di phishing avvenuti finora. La migliore difesa contro le minacce di phishing, come sempre, è la conoscenza. I dipendenti in particolare dovrebbero essere formati in modo da individuare anomalie sospette come domini scritti male, errori di battitura, date errate e altri dettagli che possono esporre un’e-mail o un messaggio di testo dannoso. Gli utenti di LinkedIn, in particolare, dovrebbero essere molto attenti nel corso dei prossimi mesi” ha concluso Omer Dembinsky.
In un attacco di brand phishing, i criminali cercano di imitare il sito web ufficiale di un marchio noto utilizzando un nome di dominio o un URL e un design della pagina web simili a quelli del sito autentico. Il link al falso sito web può essere inviato alle persone prese di mira tramite e-mail o messaggi di testo, un utente può essere reindirizzato durante la navigazione web, o può essere attivato da un’applicazione mobile fraudolenta. Il falso sito web spesso contiene un modulo destinato a rubare le credenziali degli utenti, i dettagli di pagamento o altre informazioni personali.
I brand più hackerati nel primo trimestre 2022
- LinkedIn (con il 52% di tutti gli attacchi di phishing a livello globale)
- DHL (14%)
- Google (7%)
- Microsoft (6%)
- FedEx (6%)
- WhatsApp (4%)
- Amazon (2%)
- Maersk (1%)
- AliExpress (0.8%)
- Apple (0.8%)
E-mail di brand phishing di Maersk – Esempio di malware
Durante il primo trimestre 2022, abbiamo osservato un’e-mail di phishing dannosa che utilizzava il brand Maersk e cercava di scaricare il RAT (Remote Access Trojan) Agent Tesla sulla macchina dell’utente. L’email che è stata inviata da un indirizzo webmail e camuffata per sembrare inviata da “Maersk Notification (service@maersk[.]com)“, conteneva l’oggetto, “Maersk: Verify Copy for Bill of Lading XXXXXXXXXXX ready for verification“. Il contenuto chiedeva di scaricare un file excel “Transport-Document“, che avrebbe causato l’infezione del sistema con Agent Tesla.
E-mail di brand phishing di LinkedIn – Esempio di furto di account
In questa e-mail di phishing, vediamo un tentativo di furto di informazioni dell’account LinkedIn di un utente. L’email che è stata inviata dall’indirizzo email “LinkedIn (smtpfox-6qhrg@tavic[.]com[.]mx)“, conteneva l’oggetto “M&R Trading Co.,Ltd 合作采购订单#XXXXXX“. L’aggressore cercava di convincere la vittima a cliccare su un link dannoso, che reindirizzava l’utente a una pagina di login fraudolenta di LinkedIn. Nel link fraudolento (https://carriermasr.com/public/linkedIn[.]com/linkedIn[.]com/login[.]php), l’utente doveva inserire il proprio nome utente e la propria password.
Come sempre, CPR incoraggia gli utenti a essere cauti nel divulgare dati personali e credenziali ad applicazioni aziendali o siti web, e a pensarci due volte prima di aprire allegati di e-mail o link, soprattutto le e-mail che affermano di provenire da aziende come LinkedIn o DHL, in quanto sono attualmente le più probabili ad essere imitate.