Settimana 47: phishing di Office 365 con supplemento

29.11.2022 - La scorsa settimana l’NCSC ha ricevuto 647 segnalazioni, in calo rispetto al periodo di riferimento precedente. Un phishing di Microsoft Office 365 ha suscitato particolare interesse. In un tentativo mirato, gli aggressori non solo hanno scelto un indirizzo Internet molto simile a quello dell’impresa, ma hanno pure utilizzato un trucco per ottenere altre informazioni preziose oltre alla password.

Phishing di Microsoft Office 365 con supplemento

L’intercettazione delle credenziali di Office 365 continua a godere di grande popolarità tra i truffatori, perché permette di accedere ai dati salvati nel cloud di Microsoft, ma anche all’account di posta elettronica. Per i malfattori il controllo dell’e-mail è molto utile perché offre loro la possibilità di cambiare i dati di accesso ad altri servizi, ad esempio un negozio online. Quindi non stupisce che abbiano affinato i metodi di phishing per accedere a Office 365, come mostrato nel seguente caso.
In un’e-mail segnalata all’NCSC, il link di phishing è composto dal nome dell’impresa (nell’esempio fittizio «ACME») con l’estensione «-ch» e il dominio di primo livello «.click». Un dominio di questo tipo desta relativamente pochi sospetti perché è molto simile all’originale www.acme-ch.click. Sul sito web contraffatto si apre una maschera di accesso di Microsoft Office 365.

Nelle varianti osservate finora, dopo l’immissione delle credenziali la finestra di login ricompare, il che porta la maggior parte delle persone a riconoscere il tentativo di truffa. Ciò succede nel caso in questione: dopo aver immesso i dati viene segnalato il blocco dell’account e la vittima è esortata a reimpostare la password.

Notifica di blocco dell’account nella finta finestra di login di Microsoft Office 365 con invito a reimpostare la password
Notifica di blocco dell’account nella finta finestra di login di Microsoft Office 365 con invito a reimpostare la password

Sono indicati due modi per reimpostare la password: il primo prevede l’uso del link «Reimposta password» inserendo un indirizzo e-mail diverso per il contatto. Dato che si tratta di un sito web contraffatto, ovviamente la vittima non riceve alcun messaggio per reimpostare la password, ma gli aggressori riescono a mettere le mani su un suo altro indirizzo.

Il tentativo di ricevere un link per reimpostare la password permette agli aggressori di sottrarre un altro indirizzo di posta elettronica.
Il tentativo di ricevere un link per reimpostare la password permette agli aggressori di sottrarre un altro indirizzo di posta elettronica.

Anche il secondo modo serve soltanto a fornire informazioni supplementari ai truffatori, nel nostro caso il cognome da nubile della madre. Visto che nemmeno questa «conferma» funziona, le vittime sono indotte a riprovare.

Anche reimpostare la password tramite la domanda di sicurezza finisce solo per passare informazioni supplementari agli aggressori.
Anche reimpostare la password tramite la domanda di sicurezza finisce solo per passare informazioni supplementari agli aggressori.

Poiché i truffatori sfruttano le normali funzionalità del framework di login di Microsoft Office 365, le vittime nutrono meno sospetti e gli aggressori ricevono indirizzi e-mail e informazioni supplementari. Unitamente ad eventuali altre informazioni pubblicamente reperibili, ad esempio dai social media, possono essere sferrati ulteriori attacchi agli account online della vittima o a nome di quest’ultima.

Raccomandazioni:

  • Prima di immettere una password controllate sempre l’indirizzo Internet che avete aperto (URL).
  • Diffidate delle e-mail in cui vi si chiede di eseguire un’azione. Siate prudenti quando vi viene chiesto di eseguire un’azione, come cliccare su un link o aprire un allegato.
  • Non inserite mai dati personali in moduli che si aprono dopo aver cliccato su un link ricevuto per e-mail.
  • Impostate sempre, se possibile, un secondo fattore di autenticazione. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga violato.
  • Ricordatevi che i mittenti delle e-mail possono essere falsificati facilmente.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 29.11.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2022/wochenrueckblick_47.html