Andiamo a vedere insieme questo tentativo di phishing che ha come obiettivo il furto delle credenziali Microsoft office 365, dove il numero dei tentativi di attacco a questo portale è in continuo aumento.
In questo caso vedremo come vengono sfruttati dei domini vulnerabili per realizzare l’attacco.
Riceviamo una mail dal [email protected] ma in realtà vediamo subito che non è così, il vero dominio di provenienza è thecontentwrangler.com vedremo in seguito che la mail che stanno usando è a sua volta stata rubata, probabilmente con un attacco di phishing come questo.
La email sospetta dal support ci invita a cliccare sul link evidenziato in verde, vediamo cosa succede:
Nell’immagine qui sopra possiamo vedere l’url di riferimento, clicchiamo
Ci ritroviamo su una pagina uguale identica al sito di microsoft office 365 se non fosse per l’url che non ha nulla a che vedere con microsoft, ma cos’è successo? Abbiamo cliccato www.myembroiderer.com e ci ritroviamo su netera.com.eg.
Il motivo di questo cambio dominio è subito spiegato, se provassimo ad andare sul dominio indicato dal link della email sospetta il risultato sarebbe un alert da parte del nostro antivrus:
A questo punto la truffa non andrebbe a buon fine, attacco sventato. Invece, come nel nostro caso, mettendo un redirect su di un sito considerato “autorevole” il nostro antivirus non si accorge di nulla.
Perchè non mettere direttamente nella email sospetta il link dove punta il redirect? Perchè in questo modo abbiamo la possibilità di modificare il nome del dominio a nostro piacimento per invogliare la vittima a cliccarci sopra.
Com’è possibile inserire all’interno di un dominio una pagina di phishing? Cerchiamo di capire cos’è successo, questo è il dominio violato netera.com.eg
Purtroppo non sono state applicate le corrette policy di sicurezza, con un banale tool come wpscan è possibile estrarre gli utenti presenti sul loro portare wordpress (in questo caso l’utente admin) e se la password utilizzata non è sufficientemente robusta è possibile con un bruteforce trovarla. Un altro errore è non avere l’autenticazione a 2 fattori attiva.
Una volta che si ha l’accesso dell’utente admin “tutto è possibile” in questo caso sono state caricate pagine di phishing ma si possono creare db o file dove raccogliere le credenziali che vengono rubate e molto altro.
Come avete capito da una serie di violazioni dalla email al dominio si crea un ciclo di attacchi , violazioni e truffe che non avrà mai fine se la sicurezza viene sottovalutata. Tornando alla violazione della mail che sta spammando questa truffa a chissà quanti domini office 365 il mio consiglio è, per tutti gli utenti office e non solo, di attivare l’autenticazione a 2 fattori sulle mail (2FA), così facendo anche nel caso siate caduti in un attacco di phishing o simili ed avete dato le vostre credenziali a qualche truffatore nel momento in cui tenterà di accedere al vostro account vi arriverà l’alert per la conferma del 2FA, in questo modo sapete che se non è un vostro tentativo d’accesso qualcuno si sta collegando con i vostri dati e sarà sufficiente cambiare le credenziali per evitare ulteriori tentativi.
Ci tengo anche a precisare che il 2FA non è sicuro al 100% però complica notevolmente la vita del truffatore di turno.
ARTICOLI CORRELATI
Vediamo questa particolare truffa bitcoin360 ai sponsorizzata sul famoso social network facebook, ecco come si presenta il post sponsorizzato: Sfruttando l'immagine e il nome di Tesla presentano una piattaforma STRAORDINARIA, apriamo il post e andiamo a vedere:...
Dopo le truffe via SMS e tramite Chat; oggi vedremo un'altra delle varianti di truffa "il tuo pacco e arrivato"... ovviamente ai danni di Poste Italiane... Il tuo pacco e arrivato, ricevi il mio pacco Nell'arco di due giorni abbiamo ricevuto questa email da ben due...
In questo articolo vi parliamo di una brutta esperienza avuta da una mia amica... Il furto del suo account Instagram. Truffa Instagram... Come tutto ha inizio In particolare ho notato che la mia amica aveva postato nel suo profilo un'immagine di un wallpaper di iPhone...
