Seleziona Pagina

Email Sospetta dal Support

da | 13 Gen 2021 | Truffe

email-sospetta-dal-support_6

Andiamo a vedere insieme questo tentativo di phishing che ha come obiettivo il furto delle credenziali Microsoft office 365, dove il numero dei tentativi di attacco a questo portale è in continuo aumento.
In questo caso vedremo come vengono sfruttati dei domini vulnerabili per realizzare l’attacco.

Email Sospetta

email-sospetta-dal-support_7

Riceviamo una mail dal support@nostrodominio ma in realtà vediamo subito che non è così, il vero dominio di provenienza è thecontentwrangler.com vedremo in seguito che la mail che stanno usando è a sua volta stata rubata, probabilmente con un attacco di phishing come questo.
La email sospetta dal support ci invita a cliccare sul link evidenziato in verde, vediamo cosa succede:

email-sospetta-dal-support_2

Nell’immagine qui sopra possiamo vedere l’url di riferimento, clicchiamo

email-sospetta-dal-support_3

Ci ritroviamo su una pagina uguale identica al sito di microsoft office 365 se non fosse per l’url che non ha nulla a che vedere con microsoft, ma cos’è successo? Abbiamo cliccato www.myembroiderer.com e ci ritroviamo su netera.com.eg.

Dominio non Sicuro

Il motivo di questo cambio dominio è subito spiegato, se provassimo ad andare sul dominio indicato dal link della email sospetta il risultato sarebbe un alert da parte del nostro antivrus:

email-sospetta-dal-support_4

A questo punto la truffa non andrebbe a buon fine, attacco sventato. Invece, come nel nostro caso, mettendo un redirect su di un sito considerato “autorevole” il nostro antivirus non si accorge di nulla.
Perchè non mettere direttamente nella email sospetta il link dove punta il redirect? Perchè in questo modo abbiamo la possibilità di modificare il nome del dominio a nostro piacimento per invogliare la vittima a cliccarci sopra.
Com’è possibile inserire all’interno di un dominio una pagina di phishing? Cerchiamo di capire cos’è successo, questo è il dominio violato netera.com.eg

email-sospetta-dal-support_5

Purtroppo non sono state applicate le corrette policy di sicurezza, con un banale tool come wpscan è possibile estrarre gli utenti presenti sul loro portare wordpress (in questo caso l’utente admin) e se la password utilizzata non è sufficientemente robusta è possibile con un bruteforce trovarla. Un altro errore è non avere l’autenticazione a 2 fattori attiva.
Una volta che si ha l’accesso dell’utente admin “tutto è possibile” in questo caso sono state caricate pagine di phishing ma si possono creare db o file dove raccogliere le credenziali che vengono rubate e molto altro.

L’importanza della sicurezza

Come avete capito da una serie di violazioni dalla email al dominio si crea un ciclo di attacchi , violazioni e truffe che non avrà mai fine se la sicurezza viene sottovalutata. Tornando alla violazione della mail che sta spammando questa truffa a chissà quanti domini office 365 il mio consiglio è, per tutti gli utenti office e non solo, di attivare l’autenticazione a 2 fattori sulle mail (2FA), così facendo anche nel caso siate caduti in un attacco di phishing o simili ed avete dato le vostre credenziali a qualche truffatore nel momento in cui tenterà di accedere al vostro account vi arriverà l’alert per la conferma del 2FA, in questo modo sapete che se non è un vostro tentativo d’accesso qualcuno si sta collegando con i vostri dati e sarà sufficiente cambiare le credenziali per evitare ulteriori tentativi.
Ci tengo anche a precisare che il 2FA non è sicuro al 100% però complica notevolmente la vita del truffatore di turno.

Lascia un commento

ARTICOLI CORRELATI

Richiesta fattura proforma, attenzione al malware

Richiesta fattura proforma, attenzione al malware

Attenzione alle email contenenti malware, vediamo in questo caso come si presenta una falsa richiesta fattura proforma inviata tramite una pec violata: Email con un italiano non troppo chiaro ma con tanto di firma e logo ben fatti, sicuramente copiati per bene dalla...

ENEL COMUNICA: Pericolosa truffa via email

ENEL COMUNICA: Pericolosa truffa via email

In questo articolo andiamo ad analizzare una truffa targata Enel, non è il solito tentativo di phishing, questa volta i cyber criminali hanno dato il meglio per realizzarla con tanto di dominio creato appositamente per dare una certa autorevolezza alla email. Contatto...

Agenzia entrate rimborso truffa

Agenzia entrate rimborso truffa

Nuova truffa via email targata Agenzia Entrate, andiamo subito a vedere di cosa si tratta: Falso Dominio Agenzia Entrate Sfruttando uno pseudo dominio dell'agenzia delle entrate "agenziadelleentrate.it" ci avvisano che abbiamo diritto ad un rimborso e ci rimandano al...

Fake email, come verificarla

Fake email, come verificarla

Sono sempre più frequenti campagne di fake email intimidatorie come questa: Ciao!Hai notato di recente che ti ho inviato un’e-mail dal tuo account?Sì, questo vuol dire semplicemente che ho accesso al tuo dispositivo.Ti sto osservando da un paio di mesi.Ti stai...