Il phishing adattivo è una forma di phishing avanzato che adatta dinamicamente il contenuto delle pagine in base al dominio email dell’azienda sfruttata
Phishing adattivo: iniziamo dalla definizione
Il phishing adattivo è, semplicemente, una forma avanzata, del phishing classico. Restano infatti simili le modalità di attacco, ma soprattutto lo scopo dell’attacco, ovvero il furto dei dati degli utenti vittima. La differenza sta nel fatto che il phishing adattivo prevede l’adattamento dinamico del contenuto delle pagine in base al dominio email del brand sfruttato.
Il caso classico? La generazione di un form di login con il logo e il nome del brand vittima tramite le API di appositivi servizi, come Logo Clearbit. La novità sta tutta qui: gli autori delle campagne di phishing non hanno quindi bisogno di scrivere campagne diverse in base all’organizzazione da colpire ma adattano il contenuto alla vittima. Sotto una serie di esempi pubblicati dagli esperti del CERT
Queste immagini fanno vedere come appariva la pagina di phishing di una campagna di phishing adattivo individuata contro utenti italiani nel 2021. La pagina di phishing era raggiungibile dal dominio “https[:]//rtl5.tk/general-page-dru-hash.html#[email protected]“. Sullo stesso URL era visualizzato lo stesso form di login fake, ma con logo e nome azienda variabile a seconda del dominio dell’email target.
Recentemente le campagne di phishing adattivo hanno fatto uso anche di un altro strumento oltre a Clearbit. Parliamo del servizio thum.io, solitamente utilizzato per la generazione di screenshot del sito web fornendo il nome dominio. Il servizio rende e mette i background una immagine di 1200 pixel con i contenuti reali del sito web in oggetto. Una tecnica che rende ancora più complicato individuare le pagine fake.
La campagna “My Slice”
Un primo caso interessante di campagna di phishing adattiva contro le aziende italiane viene dalla testata specializzata securityaffairs.com. La campagna, rinominata “My Slice” dal nome di una variabile nel codice Javascript della landing page, iniziava con una email mirata in italiano.
L’email, apparentemente proveniente dal supporto aziendale della stessa organizzazione della vittima, segnalava il presunto superamento del limite di memoria dell’account di posta elettronica. La vittima era quindi invitata a verificare lo stato del proprio account di posta tramite una “apposita pagina di supporto”, pena la cancellazione dell’account con tutto il contenuto.
La pagina web visualizzata era appositamente personalizzata e visualizzava un form con nome e logo dell’azienda presa di mira
L’inserimento delle credenziali nel form fake è fatale per la vittima. Le informazioni vengono infatti inviate al server di comando e controllo degli attaccanti, quindi la vittima viene reindirizzata sulla home page effettiva della sua azienda.
La nuova campagna di phishing adattivo in Italia
Pochi giorni fa il CERT ha rilevato, analizzato e poi denunciato pubblicamente una campagna di phishing adattivo mirata contro utenti italiani. Tutto inizia con la classica email di phishing contenenti un link.
Anzitutto, questa campagna fa uso del servizio thum.io, del quale abbiamo parlato poco sopra. In base al dominio dell’email target, al click sul link venivano visualizzate alcune pagine con form fake prodotte appunto tramite screenshot del sito web.
Si può notare, sotto il form di login fake, lo screenshot del sito web originale.
Le credenziali di login inserite dalle vittime nei form fake vengono salvate nel webserver, ma una loro copia viene anche inviata ad un bot su Telegram
Proteggersi dal phishing adattivo
Il phishing adattivo è una minaccia davvero molto subdola. Richiede profonda attenzione per essere individuato e può ingannare anche un occhio attento. Ecco perché la formazione, prima ancora delle soluzioni tecniche, è un passo essenziale: gli individui e le aziende devono conoscere ed essere consapevoli non solo del pericolo del phishing, ma anche delle sue evoluzioni come, appunto, il phishing adattivo.
A fianco delle persone esistono, ovviamente, le soluzioni di sicurezza. Funzionalità particolarmente efficaci nella mitigazione del rischio di phishing adattivo sono i filtri anti-phishing e anti-spam. Non solo: grazie all’evoluzione tecnologica oggi le aziende possono contare anche su sistemi di rilevamento proattivo e preventivo delle minacce, grazie al supporto dell’Intelligenza Artificiale.