Campagne di phishing finalizzate alla cattura di credenziali di posta elettronica

16/03/2018

Nelle ultime settimane sono emerse diverse campagne di phishing volte a sottrarre le credenziali di accesso di Office 365 tramite l’infrastruttura di Wix, nota azienda che offre servizi di hosting e propone la creazione di pagine web tramite un semplice editor di “click-and-drag” .

I messaggi di Phishing in relazione ai casi di seguito rappresentati, sono scritti in lingua italiana e dalle ultime evidenze è emerso che sono inviati anche da caselle di posta legittime precedentemente compromesse.
Come spesso accade con i servizi gratuiti, i criminali sfruttano questi strumenti per svolgere le loro operazioni ed in questo caso la pagina di phishing è strutturata in modo tale da sembrare una pagina di accesso ad Office 365.

Di seguito due esempi rilevati:
Di solito si tratta dello “screenshot” di una pagina di accesso di Office 365 con campi modificabili sovrapposti all’immagine.

Gli utenti che scambiano il sito per quello legittimo corrono il rischio di inserire le proprie credenziali di accesso Office 365 sul sito fraudolento fornendo così le informazioni ai criminali.

I criminali che stanno attuando questa logica di attacco tendono ad escludere i controlli di Wix eliminando il testo dalla pagina web o falsando il campo della password con parole pressoché simili. 

Si ipotizza abbiano preso simili precauzioni partendo dal presupposto che Wix effettui un processo di scansione automatico che controlla il contenuto del sito così da contrassegnare siti potenzialmente malevoli.

Da quanto emerge l’infrastruttura Wix viene utilizzata poiché non tutti i prodotti di sicurezza Web considerano malevola la reputazione di domini di terzo livello ospitati su “Wixsite.com” che generalmente è reputato attendibile.

Questo fattore, unito all’utilizzo di servizi gratuiti, offre agli aggressori il vantaggio di poter superare contromisure di sicurezza senza la necessità di dover investire ingenti somme.

Di seguito gli indicatori di compromissione di recente rilevati:

Oggetto del messaggio di posta elettronica:
  1. AGGIORNARE
  2. I tuoi messaggi sono stati sospesi dal team di Microsoft Outlook
URL Phishing:
  1. ertoine.wixsite.com/office (https)
  2. wilinggton.wixsite.com/arabeoutlook (https)
  3. webmailsa.wixsite.com/webmail (https)
Di seguito la pagina di supporto Wix per l’identificazione o la segnalazione di pagine di Phishing:
Le URL precedentemente indicate sono state segnalate al supporto Wix dal CERT-PA.

Aggiornamento ore 13:04 del 16-03-2018
A seguito delle segnalazioni effettuate dal CERT-PA, il supporto Wix ha prontamente confermato la rimozione delle pagine di phishing indicate in “URL Phishing” ai punti 1 e 2 mentre è in lavorazione la richiesta di rimozione della pagina riportata al punto 3.