L’impresa Kaspersky ha individuato un nuovo e avanzatissimo modello di phishing che avviene via email e che è rivolto ai dipendenti delle aziende.
Kaspersky ha scoperto una nuova campagna di phishing che prende di mira i dipendenti tramite e-mail personalizzate con file allegati, nascosti come aggiornamenti delle policy HR. Questa campagna rappresenta una significativa escalation nelle tattiche di phishing. Questo poiché gli attaccanti hanno personalizzato non solo il contenuto dell’e-mail, ma anche gli allegati, rivolgendosi a destinatari specifici con un livello di personalizzazione senza precedenti. L’obiettivo è convincere la vittima a fornire le proprie credenziali di posta elettronica aziendale.
Il nuovo phishing
I cybercriminali si sono probabilmente preparati analizzando i nomi dei dipendenti per rendere la campagna mirata e più convincente. Le e-mail, caratterizzate da un contenuto ingannevole, contengono il falso badge “mittente verificato” per rafforzare la fiducia. Includono il nome del destinatario e invitano ad aprire il file allegato per esaminare i protocolli di lavoro a distanza, la gestione dei benefit e gli standard di sicurezza. Tuttavia, l’intero corpo dell’e-mail è un’immagine priva di testo vero e proprio, studiata per eludere i filtri anti-spam.
Il documento allegato, che si presenta come un “Manuale per i dipendenti” aggiornato, non contiene alcuna linea guida reale. Ma solo un frontespizio, un indice con voci presumibilmente modificate evidenziate in rosso, una pagina con un codice QR per accedere al documento completo e istruzioni su come leggere i codici QR utilizzando un telefono. Il documento riporta più volte il nome della vittima, per convincerla che sia stato creato appositamente per lei.
Quando la vittima scansiona il codice QR e segue il link, viene reindirizzata a una pagina fraudolenta in cui le viene chiesto di inserire le proprie credenziali aziendali, aspetto fondamentale per gli aggressori.
Per proteggersi da queste minacce, Kaspersky consiglia di:
Utilizzare soluzioni di sicurezza specializzate nei server di posta aziendale in grado di rilevare e bloccare i tentativi di phishing.
Assicurarsi che tutti i dispositivi dei dipendenti, compresi gli smartphone, siano dotati di un solido software di sicurezza.
Formare regolarmente i dipendenti sulle moderne tattiche di phishing.
Invitare i dipendenti a controllare attentamente le e-mail per individuare eventuali segnali di phishing, come testi basati su immagini o titoli di documenti non corrispondenti. E a verificare direttamente con le Risorse Umane eventuali richieste sospette.
