Campagne di phishing diffuse da caselle compromesse

24/12/2018

Microsoft Outlook Web App phishing

Negli ultimi giorni sono state rilevate due distinte campagne di phishing indirizzate a numerose caselle di posta di diversi enti pubblici. In tutti i casi l’utente viene invitato, con finti messaggi di avvertimento, a visitare pagine esterne che sono appositamente realizzate per catturare le credenziali di accesso ai servizi di posta.

Dalle analisi svolte sui due messaggi pervenuti all’attenzione del CERT-PA, è emerso l’utilizzo di caselle mittenti reali ma compromesse ed utilizzate quindi in modo illecito dai “phisher” con l’intento di coinvolgere nella trappola un alto numero di destinatari.

I casi rilevati hanno diverse similitudini con altre campagne come quelle riportate nella notizia del 16 marzo 2018.

Caso del 20 Dicembre 2018

  • Oggetto: Infine, l’avvertimento di Microsoft prima di disabilitare il tuo account
  • Phishing URL: hXXps://info048614.wixsite.com/mysite

Di seguito la rappresentazione del messaggio:


Caso del 21 Dicembre 2018

  • Oggetto: Microsoft Avviso finale
  • Phishing URL: hXXps://info5970623.wixsite.com/mysite-1

Di seguito la rappresentazione del messaggio:


Anche la pagina di phishing rispecchia il modus operandi già osservato nel marzo scorso. La tecnica utilizzata è sempre quella di creare una pagina che ospita un’immagine generica di accesso ad Outlook Web App con campi modificabili sovrapposti. Di seguito un estratto della pagina relativa al phishing con oggetto “Infine, l’avvertimento di Microsoft prima di disabilitare il tuo account“:

Conclusioni

In diverse occasioni è stato osservato l’utilizzo di pagine di phishing, ospitate su sottodomini di “wixsite.com“, create tramite “Wix” ovvero una piattaforma di sviluppo web su base cloud che permette agli utenti di creare siti HTML5 attraverso l’uso di strumenti online “drag and drop”. Wix oltre a facilitare la creazione di tali pagine, si basa anche sul modello economico “freemium” quindi un’ottimo strumento per i phisher che minimizzano le spese di realizzazione di tali campagne.

Di recente è stato osservato un crescente utilizzo di caselle di posta Istituzionali che, precedentemente compromesse, vengono utilizzate sia per diffondere malware che per veicolare campagne di phishing. Tale modalità permette agli aggressori di incrementare il numero di vittime degli attacchi sia per ragioni tecniche che per la riposta fiducia dell’indirizzo mittente utilizzato. Per tale ragione è importante difendersi dal Phishing e adottare accorgimenti utili per far fronte agli accessi non autorizzati alle caselle. In relazione alle specifiche realtà aziendali è importante attivare politiche di controllo tali da individuare attività malevola generata da caselle di posta compromesse come ad esempio il monitoraggio delle connessioni da indirizzi IP esteri, ove possibile il blocco preventivo di tali connessioni o l’adozione di soglie di utilizzo che possano permettere di rilevare gli invii sospetti tra cui quelli massivi in uscita dalle caselle di posta.