I ricercatori di Avanan, una società di Check Point Software, hanno parlato, in un recente rapporto, di una campagna di phishing altamente mirata in cui i criminali inviano e-mail e creano pagine Web contraffatte per far sembrare che provengano dalla “Anga Com Conference“, allo scopo di rubare le credenziali degli standisti.
L'”Anga Com Conference”, lo ricordiamo è una popolare conferenza con sede in Germania per distributori di banda larga e media con un bacino di oltre 22.000 partecipanti provenienti da 470 aziende di tutto il mondo, che ha ha tenuto la sua ultima conferenza proprio nell’ultima settimana di maggio.
La dinamica della truffa
Secondo la ricostruzione la truffa inizierebbe con un’e-mail che si presume provenga da Anga Com ed indirizzata ad aziende che hanno partecipato alla relativa conferenza, informandole che alcuni visitatori dell’evento avrebbero espresso interesse per il loro stand.
“Poiché le aziende tendono a pubblicare sui social media la loro partecipazione a tali conferenze, è facile per i truffatori identificare i potenziali obiettivi“, commenta Jeremy Fuchs di Avanan
Il messaggio di posta elettronica inviterebbe pertanto le aziende a seguire le ulteriori indicazioni contenute in allegato (un file PDF con un collegamento “View Request” al suo interno) per poter accedere alla piattaforma online e interagire in tal modo con i nuovi potenziali clienti. In realtà il link punterebbe ad una pagina di login (“angacom-de .surge .sh“, l‘indirizzo ufficiale di “Anga Com Conference” è angacom.de) richiedente delle credenziali pertinenti che se inserite verrebbero subito consegnate nelle mani dei truffatori.
Ingegneria sociale e impersonificazione
In questa campagna altamente mirata che richiede molta attenzione da parte degli utenti finali, gli attaccanti hanno impiegato delle abili tecniche d’ingegneria sociale e impersonificazione.
Infatti è stato sfruttato il nome della nota conferenza e l’interesse per il bussiness dei partecipanti, inviando delle e-mail entro pochi giorni dalla fine della conferenza stessa.
Per impersonare il sito ufficiale di Anga Com e aggirare i controlli di sicurezza è stata utilizzata la piattaforma “Surge.sh” che offre servizi legittimi per creare siti web. L’URL del falso sito presentando come dominio di secondo livello il nome “angacom-de” (“angacom-de .surge .sh“) potrebbe indurre a far pensare alle vittime, sbagliando, che la piattaforma legittima surge.sh sia stata utilizzata veramente per ospitare il sito ufficiale con tutte le informazioni e le iniziative dell’evento.
Riflessioni
I truffatori in questo caso sfrutterebbero, come esca per rubare credenziali, la “Anga Com Conference”, un evento che vanta a livello globale, come detto, un vasto bacino di partecipanti (potenziali vittime), creando pagine Web false su siti di sviluppatori legittimi e facili da implementare.
Fare formazione e accrescere la consapevolezza dei rischi cyber in azienda, insegnando anche a seguire delle semplici regole di buona pratica, potrebbe davvero fare la differenza e aiutare anche a mitigare il rischio rappresentato da campagne di phishing altamente mirate come questa.
I ricercatori Avanan hanno contattato tempestivamente sia Surge che Anga Com, informandoli di questa campagna. Il sito fraudolento impiegato risulta già offline.
