I ricercatori di Avanan, una società di software di Check Point, hanno discusso di una campagna malevola in cui gli attaccanti avrebbero utilizzato il servizio Dynamic 365 Customer Voice di Microsoft per inviare dei link a pagine di phishing.
Dynamics 365 Customer Voice, un prodotto Microsoft utilizzato principalmente per ottenere feedback dai clienti, può essere utilizzato per sondaggi di customer satisfaction e di aggregazioni dati. Purtroppo questo servizio, come riscontrato, in mano a dei criminali informatici potrebbe essere impiegato per cercare di carpire informazioni sui clienti.
La logica della truffa
Secondo la ricerca di Avanan, la campagna in esame starebbe utilizzando la tecnica denominata “The Static Expressway” che sfrutta i siti legittimi per ingannare gli scanner di sicurezza.
“La logica è questa: i servizi di sicurezza non possono bloccare completamente Microsoft: sarebbe impossibile portare a termine qualsiasi lavoro. Al contrario, questi collegamenti da fonti attendibili tendono a essere automaticamente attendibili. Ciò ha creato una strada per gli hacker per inserirsi.[…]È incredibilmente difficile per i servizi di sicurezza scoprire cosa è reale e cosa si annida dietro il link legittimo” è il commento di Jeremy Fuch di Avanan.
Gli attaccanti abusano di link apparentemente legittimi e contenuti nelle notifiche Microsoft inviate tramite e-mail mascherate da indagine Dynamic 365, che avvisano di un presunto messaggio di posta vocale.
Se la vittima fa click sul link “new Voicemail ” viene in realtà reindirizzata a una una pagina di phishing che assomiglia a una pagina di accesso Microsoft, ma in realtà la URL non ha niente a che vedere con quella di una tipica pagina Microsoft. Si tratta di una falsa pagina di raccolta credenziali sotto il controllo degli attaccanti.
Le buone pratiche per mitigare gli attachi di phishing
Rimarcando quanto suggerito dagli stessi ricercatori Avanan, ecco alcuni utili consigli per aiutare a proteggere gli utenti dalle truffe di phishing:
- essere sempre cauti nei confronti di individui o organizzazioni che richiedono informazioni personali, prendendo sempre in considerazione il contesto di un’e-mail o di un messaggio;
- prestare sempre attenzione alla legittimità di un’e-mail;
- prestare sempre attenzione a fare click su collegamenti o scaricare file anche se provengono da fonti apparentemente affidabili;
- verificare le URL dei link passandoci prima sopra con il mouse per vedere in anteprima la reale corrispondenza dell’indirizzo web;
- prestare attenzione a eventuali errori grammaticali e di ortografia nel corpo dei messaggi.
