Esempi di Phishing nella vita reale

In questo articolo presenteremo una serie di e-mail di phishing reali, con dettagli personali alterati o offuscati per proteggere le vittime.

Questi sono utili per addestrare gli utenti a individuare gli indizi che qualcosa sta cercando di ingannarli, quindi sentiti libero di usarli nei tuoi materiali di formazione.

Truffa del Principe nigeriano
Partiamo da un classico, la truffa del principe nigeriano, conosciuta anche come truffa del pagamento anticipato. Questi cercano di far credere alle vittime di essere i destinatari di una grande somma di denaro (innesco emotivo: avidità), ma per riceverla devono pagare una commissione (“commissione di trasferimento” o “commissione di gestione”). Nota l'uso delle carte regalo - i criminali non possono utilizzare il sistema di trasferimento bancario internazionale standard (Swift) poiché i loro fondi verrebbero bloccati molto rapidamente e chiedere agli utenti normali di trasferire valuta criptata è anche un indizio morto - quindi, la richiesta della carta regalo, una tattica molto comune. Un secondo indizio in questa email è lo scarso uso della grammatica e dell’inglese, che è sempre un segno di qualcosa di sospetto ma che probabilmente sarà meno diffuso nei prossimi mesi man mano che gli strumenti di intelligenza artificiale generativa diventeranno un luogo comune. Sembra davvero che questa email sia stata inviata da qualcuno della banca JP Morgan Chase con il cognome Angel?
Spoofing
La prossima è la categoria del phishing, che inizia con un'e-mail di spoofing. Lo spoofing utilizza varie tecniche per far sembrare che l'e-mail provenga da un mittente quando, in realtà, viene inviata dall'indirizzo e-mail di un utente malintenzionato. In questo esempio si tratta di American Express, amex.com. Questa e-mail utilizza anche la tattica di trasformare l'intera e-mail in un'immagine, per rendere più difficile il compito ai motori anti-spam che analizzano il testo. La presenza di record SPF e DMARC bloccherà questa particolare tecnica di spoofing. In pratica l’utente effettua un accesso al servizio legittimando l'aggressore stesso che avrà preventivamente effettuato copie dei token durante il processo. Questi tipi di attacchi aumenteranno sicuramente nei prossimi 12 mesi, quindi non limitarti ad adottare l'MFA di base per tutti i tuoi utenti, prendi in considerazione l'utilizzo di tecnologie resistenti al phishing (Windows Hello for Business o chiavi hardware FIDO 2), almeno per tutti i tuoi amministratori.

Il link mostrato nell’immagine non è quello che un utente incauto aprirà se lo clicca, motivo per cui è importante addestrare gli utenti a passare il mouse sopra i collegamenti sospetti prima di cliccarvi (il che è più facile sui computer che sugli smartphone).

Gli esseri umani, inclusi gli esperti di sicurezza, sono ancora in difficoltà quando si tratta di identificare URL dannosi 

(perché non sono mai stati progettati per essere un’indicazione di affidabilità), ma il fatto che il testo del collegamento che vedi sullo schermo non corrisponda all’effettivo obiettivo del collegamento è sufficiente sapere che è una truffa.

Se fai clic, verrai indirizzato a una pagina di phishing con una richiesta di accesso, che sembra essere un sito American Express.

Nota però le barre di scorrimento: è una pagina web, fatta per assomigliare a un browser (all’interno del browser reale), che puoi capire dalle barre di scorrimento a destra e in basso. Ancora una volta, il dominio effettivo in cui la vittima sta inserendo le proprie credenziali non è quello mostrato nella pagina.

Un altro aspetto è l’imitazione, l’e-mail di seguito sembra provenire da American Express, ma il mittente è secureAmex@wsfax.com, mentre il nome visualizzato del mittente è “American Express”. Questa email non ha lo scopo di scatenare l’avidità, ma piuttosto la preoccupazione per le “informazioni importanti” relative al tuo account.

Altri esempi di Spoofing

Eccone un altro dalla Canada Revenue Agency/Agence du revenu du Canada, sempre con l’effettivo indirizzo email di invio diverso. Questo fa appello all’avidità, con la promessa di un rimborso, facendo clic sul collegamento si accede a una pagina di raccolta delle credenziali.

Ci siamo tutti abituati a ricevere tanti pacchi e, dopo la pandemia di Covid-19, è diventato onnipresente. Secondo i nostri dati, DHL è stata per lungo tempo l’azienda leader impersonata, ma recentemente è stata sostituita da Fedex.

Ecco due esempi di email di imitazione di DHL in cui il nome visualizzato non corrisponde all’indirizzo email di invio, con collegamenti su cui fare clic per “aggiornare il tuo indirizzo”. 

Nota la parola errata “Packagging” e l’utilizzo di “Hello Dear” come introduzione, improbabile da parte di una compagnia di spedizioni.

Gli allegati
Le e-mail di phishing utilizzano spesso gli allegati per far scattare la loro trappola; eccone uno che sembra provenire da DocuSign. L'allegato PDF, ovviamente non una pagina fax scansionata, sembra un documento DocuSign: facendo clic sul collegamento Visualizza documento in sospeso si aprirà una pagina di phishing. L'uso di una pagina dall'aspetto DocuSign attira la familiarità del processo. a molti di noi viene chiesto di firmare elettronicamente i documenti utilizzando DocuSign, quindi è meno probabile che siamo sospettosi di questa richiesta.
QR code
Come accennato, i codici QR sono diventati molto popolari nelle e-mail di phishing. Ciò è dovuto a due motivi: in primo luogo, le soluzioni per l'igiene della posta elettronica sono state lente nell'incorporare la tecnologia per individuarli nelle e-mail, scansionare il codice, seguire il collegamento e ispezionare la pagina Web di destinazione per individuare eventuali segni di malware. Hornetsecurity ha attivato la scansione dei codici QR dall'inizio del 2023. In secondo luogo, e forse il motivo per cui vediamo ancora grandi volumi di e-mail dannose con codici QR, è che spostano l'attacco da un computer endpoint spesso gestito, bloccato e protetto, dove la maggior parte degli utenti aziendali legge le proprie e-mail, a un punto personale smartphone con protezione minima. Scansionare un codice QR con il tuo smartphone è una seconda natura per la maggior parte di noi, soprattutto perché il loro utilizzo nella società è così comune e le persone non si aspettano un cattivo risultato dal farlo. Questo codice QR porta a un sito di phishing in cui la vittima inserisce le proprie credenziali per "aggiornare la propria password", ma invece consegna il proprio nome utente e password affinché i criminali possano utilizzarli in ulteriori attacchi.

Altri esempi di QR code Phishing

Questo secondo esempio è simile ma si concentra sulla vittima che aggiorna la Multi-Factor Authentication (MFA) che sta per scadere. Notare l’errore di ortografia di “mult-factor”.

L’urgenza di questa e-mail, con la scadenza di 24 ore, sta ancora una volta creando la sensazione che l’utente debba fare qualcosa al riguardo adesso o rischiare di perdere l’accesso e di non essere in grado di svolgere il proprio lavoro.
Entrambi sono particolarmente insidiosi perché il processo di configurazione legittimo per MFA con Microsoft Entra ID, sia con l’app Authenticator di Microsoft che con un’app di terze parti, prevede la scansione di un codice QR. Sembrerà abbastanza normale che gli utenti finali scansionino nuovamente un codice QR come parte dell’MFA.

La chiave qui è la formazione del personale aziendale da parte dei team IT/sicurezza. Se non esistono processi aziendali legittimi che comportano la scansione di codici QR inviati tramite e-mail, è essenziale informare tutti di evitare la scansione di qualsiasi codice QR ricevuto in un’e-mail.

Inoltre, si consiglia di seguire una formazione sulla sensibilizzazione alla sicurezza, comprese le e-mail di phishing simulate, per testare il personale e aiutarlo ad affinare il proprio istinto.

Se disponi di processi aziendali legittimi che coinvolgono codici QR, verifica se possono essere inviati in modo diverso dalla posta elettronica e, in caso contrario, chiarisci a tutti che questo processo utilizza i codici QR ed ecco come farlo il flusso funziona, ma non eseguirne la scansione al di fuori di questa procedura.

Quest’ultimo esempio introduce una piega con il codice QR blu su sfondo rosso, senza dubbio per aggirare le soluzioni di igiene della posta elettronica (Hornetsecurity ATP non si è lasciata ingannare e le ha rilevate). Nota la goffa grammatica “la mancata protezione della casella di posta di aggiornamento porterà alla disattivazione”.

Se esegui la scansione del codice QR verrai indirizzato a una pagina di raccolta delle credenziali, raccogliendo le credenziali di accesso di Microsoft.

La chiave in tutti questi esempi da trasmettere al personale è essere consapevoli delle emozioni scatenanti, delle richieste insolite, dei processi insoliti (non è così che normalmente reimpostano la mia password), errori di ortografia e grammatica e per i codici QR, non scansionare a meno che non faccia parte di un processo aziendale noto.

Migliora la consapevolezza dei dipendenti e salvaguarda i dati critici sfruttando il servizio di Security Awareness di Hornetsecurity per una formazione e una protezione complete sulle minacce informatiche.

Hornetsecurity lavora duramente e costantemente per dare ai propri clienti fiducia nelle loro strategie di protezione da spam e malware e protezione avanzata dalle minacce.

Scopri le ultime novità in materia di sicurezza informatica: come individuare un’e-mail di phishing nell’era dell’intelligenza artificiale.

Conclusioni

In conclusione, comprendere le tattiche utilizzate nelle e-mail di phishing nel mondo reale è fondamentale per consentire a individui e organizzazioni di proteggersi dalle minacce informatiche.

Riconoscendo i comuni segnali d’allarme, praticando la vigilanza e implementando solide misure di sicurezza, gli individui possono difendersi dagli attacchi di phishing, mentre le organizzazioni possono rafforzare le proprie difese e mitigare il rischio di violazioni dei dati e perdite finanziarie.

Rimani informato, resta vigile e resta al sicuro nel panorama in continua evoluzione del crimine informatico.

Compila il form per richiedere maggiori informazioni o la TRIAL gratuita – Hornetsecurity

Articolo originale: What Your Employees Need to Know About Phishing + Real-Life Examples– autore Paul Schnackenburg

Traduzione e riadattamento da parte di CIPS Informatica -Hornetsecurity Blog - © 2024 Hornetsecurity

Torna in cima