Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing a tema “Esaurimento spazio di archiviazione” volta a carpire le credenziali di autenticazione relative ad account e-mail.

La campagna, veicolata tramite mail, informa la potenziale vittima dell’esaurimento di spazio di archiviazione assegnato alla propria mailbox , esortandola a pulire la propria “ cache ”, cliccando sul link presente all’interno del corpo del messaggio

Figura 1 – Messaggio di phishing

Nell caso in cui venga dato seguito al suddetto link, viene proposta all’utente una pagina di accesso (Figura 2).

Figura 2 – Pagina di accesso

Qualora fornite le proprie credenziali, il portale invierà l’indirizzo e-mail, la password e l’IP della vittima ad un bot Telegram (Figura 3).

Figura 3 – Riferimento bot Telegram

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) ¹ forniti in allegato.

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.