Alcuni ricercatori hanno individuato una nuova e alquanto subdola forma di phishing, le mail truffa che spacciandosi per comunicazioni ufficiali di aziende e istituzioni cercano di sottrarre dati sensibili. Ecco come difendersi.
I criminali informatici cambiano costantemente le proprie tattiche al fine di evitare che siano intercettate. I ricercatori di sicurezza di GreatHorn, ad esempio, hanno scoperto di recente una nuova e particolarmente subdola campagna di phishing (truffe via mail che fingono di provenire di aziende e istituzioni note al fine di sottrarre dati sensibili agli utenti) in grado di bypassare le difese tradizionali.
Molte truffe di phishing tradizionali prevedono la modifica di alcune lettere dell’URL, vale a dire l’indirizzo web di un sito popolare, al fine di ingannare gli utenti portandoli a navigare in realtà su pagine false. La nuova strategia individuata invece non cambia l’indirizzo, che può quindi restare del tutto corretto, variando invece alcuni dei simboli utilizzati nel prefisso che va prima dell’URL, a cui pochissimi fanno caso: parliamo delle sigle di protocollo http o https, solitamente seguite da ://, che invece nei siti civetta diventa:/\.
Il trucco consiste nel fatto che non sono soltanto gli utenti a non controllare quella parte di un indirizzo Web, ma anche la maggior parte dei browser. Di conseguenza, le pagine di phishing così conformate sono in grado di aggirare molti scanner di posta elettronica e raggiungere gli obiettivi previsti.
Secondo un nuovo post sul blog del GreatHorn Threat Intelligence Team, questi attacchi di prefisso malformati sono emersi per la prima volta nell’ottobre dello scorso anno e hanno guadagnato slancio fino alla fine dell’anno. Infatti, tra la prima settimana di gennaio e l’inizio di febbraio, il volume degli attacchi di phishing via e-mail che utilizzano prefissi URL non validi è aumentato di ben il 5933%.
Per evitare di cadere vittima di un attacco di questo tipo, GreatHorn consiglia alle aziende di fornire ai propri dipendenti un’adeguata formazione su come individuare un prefisso URL sospetto. Allo stesso tempo, tuttavia, i team di sicurezza dovrebbero cercare nella posta elettronica della propria organizzazione tutti i messaggi contenenti URL che corrispondono a questo nuovo modello di minaccia e rimuoverli.