Andiamo a vedere insieme questo tentativo di phishing che ha come obiettivo il furto delle credenziali Microsoft office 365, dove il numero dei tentativi di attacco a questo portale è in continuo aumento.
In questo caso vedremo come vengono sfruttati dei domini vulnerabili per realizzare l’attacco.
Riceviamo una mail dal support@nostrodominio ma in realtà vediamo subito che non è così, il vero dominio di provenienza è thecontentwrangler.com vedremo in seguito che la mail che stanno usando è a sua volta stata rubata, probabilmente con un attacco di phishing come questo.
La email sospetta dal support ci invita a cliccare sul link evidenziato in verde, vediamo cosa succede:
Nell’immagine qui sopra possiamo vedere l’url di riferimento, clicchiamo
Ci ritroviamo su una pagina uguale identica al sito di microsoft office 365 se non fosse per l’url che non ha nulla a che vedere con microsoft, ma cos’è successo? Abbiamo cliccato www.myembroiderer.com e ci ritroviamo su netera.com.eg.
Il motivo di questo cambio dominio è subito spiegato, se provassimo ad andare sul dominio indicato dal link della email sospetta il risultato sarebbe un alert da parte del nostro antivrus:
A questo punto la truffa non andrebbe a buon fine, attacco sventato. Invece, come nel nostro caso, mettendo un redirect su di un sito considerato “autorevole” il nostro antivirus non si accorge di nulla.
Perchè non mettere direttamente nella email sospetta il link dove punta il redirect? Perchè in questo modo abbiamo la possibilità di modificare il nome del dominio a nostro piacimento per invogliare la vittima a cliccarci sopra.
Com’è possibile inserire all’interno di un dominio una pagina di phishing? Cerchiamo di capire cos’è successo, questo è il dominio violato netera.com.eg
Purtroppo non sono state applicate le corrette policy di sicurezza, con un banale tool come wpscan è possibile estrarre gli utenti presenti sul loro portare wordpress (in questo caso l’utente admin) e se la password utilizzata non è sufficientemente robusta è possibile con un bruteforce trovarla. Un altro errore è non avere l’autenticazione a 2 fattori attiva.
Una volta che si ha l’accesso dell’utente admin “tutto è possibile” in questo caso sono state caricate pagine di phishing ma si possono creare db o file dove raccogliere le credenziali che vengono rubate e molto altro.
Come avete capito da una serie di violazioni dalla email al dominio si crea un ciclo di attacchi , violazioni e truffe che non avrà mai fine se la sicurezza viene sottovalutata. Tornando alla violazione della mail che sta spammando questa truffa a chissà quanti domini office 365 il mio consiglio è, per tutti gli utenti office e non solo, di attivare l’autenticazione a 2 fattori sulle mail (2FA), così facendo anche nel caso siate caduti in un attacco di phishing o simili ed avete dato le vostre credenziali a qualche truffatore nel momento in cui tenterà di accedere al vostro account vi arriverà l’alert per la conferma del 2FA, in questo modo sapete che se non è un vostro tentativo d’accesso qualcuno si sta collegando con i vostri dati e sarà sufficiente cambiare le credenziali per evitare ulteriori tentativi.
Ci tengo anche a precisare che il 2FA non è sicuro al 100% però complica notevolmente la vita del truffatore di turno.
ARTICOLI CORRELATI
Vediamo anche il marchio Walmart utilizzato per una campagna di truffa via eMail, "you are our winner”, questa volta abbiamo vinto una gift card da 500 Dollari. Walmart gift card Vediamo l’ eMail che ci viene mandata: Come nella maggior parte delle truffe di questa...
Recensiamo questa particolare tipologia "truffa investimenti tramite email" che sfrutta il nome di un personaggio famoso per attirare l'attenzione in qualche investimento che ci promette enormi guadagni. Di seguito vediamo 2 esempi: 1. Truffa legata al mondo delle...
vediamo questa particolare truffa arrivata a tanti liberi professionisti tramite lettera postale; dobbiamo fare una premessa per contestualizzare l’arrivo di questa lettera: COS’È LA CAMERA DI COMMERCIO? Facciamoci aiutare da wikipedia: La camera di...
