Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Phishing: falsa notifica di scadenza della casella e-mail (AL05/250723/CSIRT-ITA)

Data:
23 Luglio 2025 14:46

Sintesi

È stata rilevata una recente campagna di phishing volta a carpire le credenziali utente delle potenziali vittime tramite form opportunamente predisposti che ripropongono loghi e riferimenti ai servizi Microsoft Outlook.

Descrizione e potenziali impatti

È stata rilevata una recente campagna di phishing volta a carpire le credenziali utente delle potenziali vittime tramite form opportunamente predisposti che ripropongono loghi e riferimenti ai servizi Microsoft Outlook.

L’email (Figura 1), redatta in inglese e apparentemente inviata da presunto servizio di supporto automatizzato interno all’organizzazione di appartenenza, informa la vittima dell’imminente scadenza della propria password e della configurazione relativa all’autenticazione a più fattori (MFA) ad essa associata.

Figura 1-Email
Figura 1-Email

Qualora dato seguito al link proposto, la vittima viene reindirizzata ad una landing page malevola che riporta, in secondo piano, una verosimile configurazione delle proprie modalità di autenticazione; in primo piano viene presentato un pop-up che richiede l’inserimento del proprio account e-mail per procedere all’aggiornamento delle credenziali (Figura 2).

Figura 2-Landing page
Figura 2-Landing page

Forniti i propri dati, una breve animazione che ripropone loghi e riferimenti Microsoft, rimandando ai servizi cloud di Outlook, chiede l’inserimento dell’attuale password per procedere (Figura 3) alla fase successiva.

Figura 3-Richiesta inserimento password
Figura 3-Richiesta inserimento password

Nel caso in cui vengano fornite le proprie credenziali tramite il pulsante “Next”, i dati inseriti verranno inviati a una risorsa sotto il controllo dell’attaccante, mentre la vittima verrà reindirizzata a una pagina di errore che avvisa l’utente che l’account è stato bloccato a causa di troppi tentativi di accesso (Figura 4).

Figura 4-Messaggio account bloccato
Figura 4-Messaggio account bloccato

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Tipologia Indicatore
domain dxddls04.na2.hs-sales-engage.com
email-src gwright@hopkinshouse.org
url https://isadoracavecappadocia.com/dev/
domain isadoracavecappadocia.com
domain qqpam.akpfgenczu.es

Change log

Versione Note Data
1.0 Pubblicato il 23-07-2025 23/07/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link