Un falso messaggio vocale come esca per acquisire le credenziali
A cura di Jeremy Fuchs, Cybersecurity Researcher/Analyst Check Point Software LTD
Gli hacker provano di tutto per indurre gli utenti a cliccare su un link malevolo.
Il segreto è far sembrare una determinata e-mail il più credibile possibile. Più sembra autentica e credibile, meglio è. La corsa per indurre gli utenti a cliccare sui link è ricca di esempi creativi. Una tattica sempre più diffusa è quella di utilizzare la segreteria telefonica e i messaggi vocali come esca per indurre gli utenti in trappola.
Molti sistemi telefonici aziendali sono infatti collegati alla posta elettronica: i messaggi vocali lasciati al telefono possono essere ascoltati via e-mail. Gli hacker ne approfittano inserendo quella che sembra una registrazione della segreteria telefonica, ma che invece è un collegamento ipertestuale a una pagina malevola. Nelle ultime settimane si è assistito a 1.000 di questi attacchi.
L’attacco
In questo tipo di attacco, gli hacker inviano dei QR Code con routing condizionale in base al dispositivo.
- Vettore: Email
- Tipo: Raccolta di credenziali
- Tecnica: Ingegneria sociale
- Obiettivo: Qualsiasi utente
Esempio di e-mail
L’e-mail inizia con un oggetto che contiene un numero di telefono, che solo se cercato su Google si scopre non essere legittimo. Se si prosegue, l’e-mail sembra provenire – ma non è così – da Square, il servizio di elaborazione dei pagamenti. Si tratta di una simulazione piuttosto convincente del brand.
Nell’e-mail c’è solo quello che sembra un file MP3 incorporato di segreteria telefonica. Cliccando, tuttavia, si viene reindirizzati a una pagina web, che è in realtà una pagina di raccolta delle credenziali.
Le tecniche
Ad eccezione delle minacce zero-click, che stanno diventando sempre più rilevanti, gli hacker hanno bisogno di un’azione diretta dell’utente per portare a termine un attacco phishing, che deve riprodurre, cliccare o inserire determinate informazioni per far progredire l’attacco.
Questo offre anche l’opportunità al criminale informatico di provare nuove opzioni creative per indurre la vittima a prendere parte attiva alla minaccia.
Un messaggio vocale può essere efficace per alcuni utenti, mentre altri potrebbero non accorgersene.
Impersonando un marchio noto e aggiungendo un messaggio vocale che incuriosisce i più, i cybercriminali hanno creato un interessante modo per ottenere le credenziali dagli utenti finali.
Se non altro, potranno così vedere i risultati di questa tecnica e adattare di conseguenza i cyber attacchi futuri.
Linee guida e raccomandazioni
Per difendersi da questi attacchi, i responsabili della sicurezza possono:
- Implementare misure di sicurezza che utilizzino l’intelligenza artificiale per esaminare i molteplici indicatori di phishing.
- Implementare una sicurezza che controlli ed emuli tutti gli URL.
- Implementare una sicurezza con più livelli di protezione.
Ingegnere gestionale, sono Head of Smart Services nell'unità Servizi di Enel Italia.
Mi occupo di Smart Office e di tecnologie abilitanti a questo nuovo settore come ad esempio la sensoristica IoT.
Da più di 20 anni svolgo attività come giornalista freelance e consulente di comunicazione per alcune aziende.
Scrivo di nuove tecnologie, IT Governance, startup, Web Economy, AI, cybersecurity, IoT attraverso interviste ai protagonisti del mondo dell'innovazione.
Sposato con Antonella e papà innamorato di Sara ed Elisa ed Andrea. 
Commenti recenti