Andiamo a vedere insieme questo tentativo di phishing che ha come obiettivo il furto delle credenziali Microsoft office 365, dove il numero dei tentativi di attacco a questo portale è in continuo aumento.
In questo caso vedremo come vengono sfruttati dei domini vulnerabili per realizzare l’attacco.
Riceviamo una mail dal [email protected] ma in realtà vediamo subito che non è così, il vero dominio di provenienza è thecontentwrangler.com vedremo in seguito che la mail che stanno usando è a sua volta stata rubata, probabilmente con un attacco di phishing come questo.
La email sospetta dal support ci invita a cliccare sul link evidenziato in verde, vediamo cosa succede:
Nell’immagine qui sopra possiamo vedere l’url di riferimento, clicchiamo
Ci ritroviamo su una pagina uguale identica al sito di microsoft office 365 se non fosse per l’url che non ha nulla a che vedere con microsoft, ma cos’è successo? Abbiamo cliccato www.myembroiderer.com e ci ritroviamo su netera.com.eg.
Il motivo di questo cambio dominio è subito spiegato, se provassimo ad andare sul dominio indicato dal link della email sospetta il risultato sarebbe un alert da parte del nostro antivrus:
A questo punto la truffa non andrebbe a buon fine, attacco sventato. Invece, come nel nostro caso, mettendo un redirect su di un sito considerato “autorevole” il nostro antivirus non si accorge di nulla.
Perchè non mettere direttamente nella email sospetta il link dove punta il redirect? Perchè in questo modo abbiamo la possibilità di modificare il nome del dominio a nostro piacimento per invogliare la vittima a cliccarci sopra.
Com’è possibile inserire all’interno di un dominio una pagina di phishing? Cerchiamo di capire cos’è successo, questo è il dominio violato netera.com.eg
Purtroppo non sono state applicate le corrette policy di sicurezza, con un banale tool come wpscan è possibile estrarre gli utenti presenti sul loro portare wordpress (in questo caso l’utente admin) e se la password utilizzata non è sufficientemente robusta è possibile con un bruteforce trovarla. Un altro errore è non avere l’autenticazione a 2 fattori attiva.
Una volta che si ha l’accesso dell’utente admin “tutto è possibile” in questo caso sono state caricate pagine di phishing ma si possono creare db o file dove raccogliere le credenziali che vengono rubate e molto altro.
Come avete capito da una serie di violazioni dalla email al dominio si crea un ciclo di attacchi , violazioni e truffe che non avrà mai fine se la sicurezza viene sottovalutata. Tornando alla violazione della mail che sta spammando questa truffa a chissà quanti domini office 365 il mio consiglio è, per tutti gli utenti office e non solo, di attivare l’autenticazione a 2 fattori sulle mail (2FA), così facendo anche nel caso siate caduti in un attacco di phishing o simili ed avete dato le vostre credenziali a qualche truffatore nel momento in cui tenterà di accedere al vostro account vi arriverà l’alert per la conferma del 2FA, in questo modo sapete che se non è un vostro tentativo d’accesso qualcuno si sta collegando con i vostri dati e sarà sufficiente cambiare le credenziali per evitare ulteriori tentativi.
Ci tengo anche a precisare che il 2FA non è sicuro al 100% però complica notevolmente la vita del truffatore di turno.
ARTICOLI CORRELATI
Un altro (nuovo) tentativo di truffa ai danni dell'ecommerce più famoso di sempre.. Amazon.La ricezione del messaggio "!-Vincitore--garantito!!!-- -- Sei_il_nostro_VINCITORE" da parte di "Online Shopper" da inizio ai giochi RISPONDI E VINCI UN IROBOT ROOMBA A seguito...
Questa volta andiamo a mostrarvi una truffa particolarmente stupida, eredità truffa, nel senso che è difficile credere che di punto in bianco ci comunicano di essere eredi di x milioni senza essere eredi. Ebbene si, capita anche questo, di seguito il messaggio che...
Ed riecco all'attacco i cybercriminali che prendono di mira, un'altra volta, l'istituto bancario BancaMPS, che, tramite un SMS, ci notifica che un dispositivo non autorizzato risulta connesso al nostro conto. SMS BANCAMPS DISPOSITIVO NON AUTORIZZATO La ricezione di un...
