Un nuovo attacco di phishing a tema “Aggiorna la tua webmail ZIMBRA” è in corso.
Zimbra lo ricordiamo è un’applicazione webmail open source utilizzata da istituzioni pubbliche e aziende private per la messaggistica e la collaborazione molto diffusa anche in Italia.
Il messaggio esca
Come si legge nel testo di un campione e-mail intercettato, l’utente viene invitato dal presunto team di gestione, per evitare la disattivazione, ad aggiornare il proprio account di posta elettronica aprendo il link “https: //zimbrawebmailadmin.]com/zimbra” che, nel tentativo di ingannare l’eventuale incauto interlocutore, riporta nel nome dei riferimenti alla nota piattaforma.
La pagina di landing
In realtà la pagina di landing a cui punta il suddetto link, come si vede nell’immagine, è una falsa pagina con loghi del provider Zimbra che richiede per l’aggiornamento di inserire le proprie credenziali di accesso: Email, Username e Password.
Leggendo il codice html della pagina in questione si può vedere che i dati del modulo vengono inviati tramite POST ad un server in ascolto sullo stesso dominio. Una funzione javascript dedicata forza l’utente a riempire tutti i campi richiesti senza fare però alcun controllo di integrità dei dati immessi.
Una volta sottoscritto il modulo online, ecco che appare una pagina di ringraziamento per aver eseguito il processo.
Il dominio di appoggio
Il sito creato con un CMS WordPress risulta registrato il 15/01/2022 su di un dominio “NameCheap” che mantenendo le restrizioni privacy impedisce di individuare il relativo registrant. Di seguito il profilo del dominio restituito da una query Whois.
Prudenza
Purtroppo le e-mail di phishing vengono create proprio per sembrare legittime. E’ chiaro come l’URL di destinazione “zimbrawebmailadmin.com/zimbra” non centri nulla con il vero dominio “zimbra.com”. Spesso, infatti non potendo duplicare un dominio già esistente, i criminali informatici cercano di creare a corredo dei loro messaggi dei link a indirizzi web con nomi il più possibile simili agli originali. A volte pertanto potrebbe risultare difficile distinguere un’e-mail vera da una falsa.
In tutti i casi alcune caratteristiche comuni alle e-mail di phishing dovrebbero poter allertare:
- la presenza di errori di ortografia, grammatica scadente, forme confidenziali e grafiche verosimili;
- la presenza di link che puntano ad un sito esterno o che avviano il download di qualsiasi tipo di file;
- il tema dell’urgenza con cui viene chiesto a vario titolo di fornire dettagli e dati personali.
La prudenza comunque non è mai troppa.
