Libraesva ha lanciato un alert su una nuova forma di campagna di email phishing che utilizza Google reCAPTCHA per aggirare la sandbox di protezione dal click-time. Libraesva ha identificato due campagne di questo tipo, entrambe rivolte agli utenti di Office 365, con l’obiettivo di appropriarsi delle loro credenziali. In entrambi i casi, non appena l’utente clicca sul link contenuto nell’email ricevuta, il browser atterra sulla pagina vuota che contiene solo un reCAPTCHA di Google.
Va ricordato che il reCAPTCHA di Google nasce come barriera per i servizi di scansione automatica, andando a filtrare e a lasciare passare solo gli esseri umani. In questo caso il reCAPTCHA, invece che per proteggere un servizio legittimo, protegge un sito malevolo dai sistemi automatici di sicurezza che altrimenti lo identificherebbero e lo bloccherebbero.
L’applicazione web phishing identificata dagli esperti di email security di Libraesva risulta essere costruita utilizzando React, un framework javascript ampiamente utilizzato. Il livello di competenze degli attaccanti è ben al di sopra della media di campagne di phishing.
Dopo che il reCAPTCHA ha confermato con successo che la visita alla pagina web proviene da un essere umano, viene visualizzata la pagina di atterraggio finale, ovvero quella di phishing reale, in cui avviene il furto delle credenziali complete dell’utente.
Paolo Frizzi, Ceo di Libraesva
Le campagne di phishing continuano a migliorare. Gli attaccanti si stanno dimostrando sempre più esperti e con competenze sofisticate. Eludendo l’ispezione da parte dei bot, puntano ad aumentare la longevità del sito di phishing ritardando il momento in cui il sito web viene inserito in blacklist e in cui i browser iniziano ad allertare gli utenti che lo visitano. Nel caso esemplificativo qui presentato, il sito di phishing rispondente al seguente dominio infiniteaudiovisual[.]com è ancora online e non risulta inserito in alcuna blacklist dopo già oltre una settimana.
Come prevenire e proteggersi
Per prevenire è opportuno dotarsi di servizi di URL sandboxing. Nel caso di Libraesva, la soluzione si chiama Libraesva URLSand che, visitando la pagina al momento del click-time – ovvero nel momento stesso in cui un utente fa clic su un link ricevuto via email – può permettersi di effettuare controlli più approfonditi sui contenuti del sito web e sul suo comportamento in reazione ai clic reali originati da vere e proprie email di phishing.
Da un punto di vista tecnico, significa quindi che oltre alla ricerca di toolkit e modelli di phishing, e al di là dell’analisi semantica ed euristica, a controlli di reputazione e apprendimento automatico, l’URLSand va attivamente alla ricerca di tentativi di evasione e di offuscamento per stanarli e analizzarne origine e comportamento.
Se si è dipendenti di un’azienda e da questa dotati di un device mobile per la reperibilità e l’attività in mobilità, o se si ricevono comuni email con link che portano ad ambienti web esterni, i suggerimenti di Libraesva rientrano nel buon senso di quando si naviga online. Particolare attenzione è da porre quando si utilizza un dispositivo cellulare che per la conformazione ridotta del suo schermo presenta una leggibilità più difficoltosa.
Tra le buone pratiche per evitare di incorrere in un reCAPTCHA “nemico”:
-dopo avere verificato che l’email giunta in casella di posta elettronica provenga da un mittente conosciuto e che il suo contenuto non contenga errori di battitura o elementi sospetti, dopo aver fatto clic sul link presente nell’email, porre attenzione al dominio/URL che compare nel browser web. In caso presentasse dopo il WWW una stringa composta da numeri e lettere senza senso logico, chiudere il browser e non procedere oltre nella navigazione.
-Verificare che alla comparsa del form reCAPTCHA, la stringa di anteprima presente a fondo pagina (solitamente in basso a sinistra su desktop) risulti comprensibile e attinente a contenuti noti.
-In caso si prosegua nella navigazione dopo il form reCAPTCHA, atterrando sulla pagina web finale desistere dall’inserire i propri dati personali se la pagina presenta elementi che presentano errori di contenuto o grafici, malfunzionamento di caricamento (non sempre è colpa di una mancata copertura Wi-Fi o di segnale)
Rodolfo Saccani, Security R&D Manager di Libraesva
La possibilità di disporre di un sistema di Sandboxing su server di posta resta la migliore protezione possibile per intercettare e bloccare gli attacchi di phishing.