Sintesi

È stata rilevata una campagna di phishing, volta a carpire le credenziali utente delle potenziali vittime, che esorta la potenziale vittima a visualizzare un presunto documento contenente delle fatture da liquidare.

Descrizione e potenziali impatti

È stata rilevata una campagna di phishing, volta a carpire le credenziali utente delle potenziali vittime, che esorta la potenziale vittima a visualizzare un presunto documento contenente delle fatture da liquidare (Figura1).

Nel dettaglio la mail, scritta in italiano, invita la vittima a cliccare su un link opportunamente predisposto per accedere ai dettagli di un documento ADOBE PDF contenente le suddette fatture.

Qualora dato seguito al link proposto, la vittima viene reindirizzata ad una landing page malevola che ripropone loghi e riferimenti riconducibili al servizio di posta inerente al dominio della mail della vittima: nel caso in esame il dominio della mail è “outlook.com”, di conseguenza la landing page proposta riporta riferimenti riconducibili ai servizi erogati da Microsoft.

All’interno di tale pagine è presente un form di autenticazione nel quale si richiede di inserire la password per l’indirizzo email, precompilato dall’attaccante (Figura 2).

Nel caso in cui venga compilato il form ed effettuato il login, verrà proposto un messaggio di errato inserimento password. Al terzo tentativo l’utente verrà reindirizzato alla landing page legittima inerente al dominio della mail.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

¹Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.