Phishing: migliaia di credenziali aziendali rubate finiscono su Internet

Phishing: migliaia di credenziali aziendali rubate finiscono su Internet

Check Point Research (CPR) scopre una campagna phishing su larga scala, in cui degli hacker hanno involontariamente reso visibili oltre mille credenziali di accesso rubate, accessibili a tutti attraverso una semplice ricerca su Google

CPR e Otorio hanno scoperto una campagna phishing potenzialmente molto pericolosa: gli aggressori hanno involontariamente reso visibili su internet diverse password rubate. La campagna si prolungava da agosto 2020 con e-mail che avevano l’aspetto di notifiche di scansione Xerox, spingendo così gli utenti ad aprire un allegato HTML dannoso che ha bypassato il filtro ATP (Advanced Threat Protection) di Microsoft Office 365.

Quindi, sono state rubate le credenziali aziendali di oltre mille dipendenti e memorizzate in apposite pagine web su server compromessi. Anche Google, che indicizza costantemente Internet, ha reso visibili queste pagine web. In altre parole, le credenziali rubate erano a disposizione di chiunque potesse richiedere a Google un indirizzo e-mail rubato, con una semplice ricerca su Google, chiunque avrebbe potuto trovare la password di uno degli indirizzi e-mail compromessi e rubati. Il desiderio di ogni hacker!

Metodologia dell’attacco

  1. Invio di un’e-mail di phishing alle potenziali vittime, con allegato un file HTML.
  2. Click sul file HTML, e vittime indirizzate verso una pagina di login simile a una di quelle dei brand più popolari, in questo caso Xerox.
  3. Password e indirizzi e-mail delle vittime che cadono nella trappola, inviate e memorizzate su server compromessi in un file di testo.
  4. Nei server compromessi, in attesa che gli hacker usino le credenziali, Google indicizza i file di testo su tali server e li rende disponibili attraverso sui browser.

David Gubiani, Regional Director SE EMEA Southern di Check Point: “Tendiamo a credere che quando qualcuno ruba le nostre password, la peggiore delle ipotesi è che le informazioni vengano utilizzate all’interno del dark web. Non in questo caso. Qui, tutte le persone avevano accesso alle credenziali rubate. La strategia degli aggressori è stata quella di memorizzare le informazioni rubate su una specifica pagina web da loro creata. In questo modo, dopo aver protratto le campagne per un certo periodo di tempo, gli aggressori hanno potuto scansionare i server compromessi per le rispettive pagine web, raccogliendo le credenziali. Però, non pensavano che anche Google è in grado di scansionare le stesse pagine. Si è trattato di un chiaro fallimento di operation security per gli aggressori.”

Leggi anche:  Scoperta una nuova versione di stalkerware che legge le chat e sblocca i dispositivi spiati

Come proteggersi

  1. Controllare il dominio web. Fate attenzione ai domini “lookalike”, agli errori di ortografia nelle e-mail o nei siti web.
  2. Siate scettici nei confronti di mittenti sconosciuti. Specialmente con i file e se le e-mail richiedono una certa azione che di solito non fareste.
  3. Usate solo fonti autentiche. Non cliccate sui link promozionali nelle e-mail, ma invece, cercate direttamente da Google.
  4. Pensateci due volte prima di fidarvi di una “offerta speciale”. Non sono sempre essere affidabili.
  5. Non utilizzate le stesse password. Assicuratevi di non riutilizzare le password per diverse applicazioni e account.