Ecco un piccolo campione di email di phishing popolari che abbiamo visto nel corso degli anni. Come potete vedere ci sono molti approcci diversi che i criminali informatici adottano e sono sempre in evoluzione.
Sebbene sia praticamente impossibile tenere un archivio aggiornato e completo di questi esempi, è una buona idea tenersi aggiornati su ciò che c’è là fuori per rendere gli attacchi di phishing meno probabili.
E-mail di phishing classiche
Truffe di supporto tecnico
Negli ultimi anni i fornitori di servizi online hanno intensificato il loro gioco di sicurezza inviando messaggi ai clienti quando rilevano attività insolite o preoccupanti sugli account dei loro utenti. Non sorprende che i cattivi lo stiano usando a loro vantaggio. Molti sono disegnati male con cattiva grammatica, ecc. ma altri sembrano abbastanza legittimi per qualcuno da cliccare se non stavano prestando molta attenzione:
Considerate questo falso avviso di sicurezza di Paypal che avverte i potenziali clienti di “insolite attività di accesso” sui loro conti:
Sopra i link sarebbe sufficiente per impedirvi di finire su un sito web di furto di credenziali.
Ecco un falso avviso di Microsoft, quasi identico in apparenza ad un vero e proprio avviso di Microsoft riguardante “Unusual sign-in activity”:
Questa email punta gli utenti ad un falso numero 1-800 invece di indirizzarli verso un phishing di credenziali.
Allegati infetti
I pericoli nascosti degli allegati .HTML
Gli allegati .HTML dannosi non sono visti così spesso come gli allegati .JS o .DOC, ma sono desiderabili per un paio di motivi. In primo luogo, c’è una bassa possibilità di rilevamento antivirus, poiché i file .HTML non sono comunemente associati ad attacchi via e-mail. In secondo luogo, gli allegati .HTML sono comunemente usati dalle banche e da altre istituzioni finanziarie, quindi le persone sono abituate a vederli nelle loro caselle di posta. Ecco alcuni esempi di phishing di credenziali che abbiamo visto usare questo vettore di attacco:
Macro con Payloads
Le macro dannose nelle email di phishing sono diventate un modo sempre più comune di fornire ransomware nell’ultimo anno. Questi documenti troppo spesso superano senza problemi i programmi anti-virus. Le email di phishing contengono un senso di urgenza per il destinatario e, come si può vedere nello screenshot qui sotto, i documenti guidano gli utenti attraverso il processo. Se gli utenti non riescono ad abilitare le macro, l’attacco non ha successo.
Social Media Exploits
Messaggi Facebook malevoli
Alcuni utenti Facebook hanno ricevuto messaggi nei loro account Messenger da altri utenti già noti. Il messaggio consisteva in un singolo file immagine .SVG (Scaleable Vector Graphic) che, in particolare, ha aggirato il filtro delle estensioni dei file di Facebook. Gli utenti che hanno cliccato sul file per aprirlo sono stati reindirizzati a una pagina di Youtube falsificata che richiedeva agli utenti di installare due estensioni di Chrome presumibilmente necessarie per visualizzare il video (inesistente) sulla pagina.
Per la maggior parte degli utenti, le due estensioni di Chrome sono state utilizzate per consentire al malware un limitato grado di auto-propagazione, sfruttando “l’accesso del browser al tuo account Facebook per inviare segretamente messaggi a tutti i tuoi amici di Facebook con lo stesso file immagine SVG.”
Su alcuni PC degli utenti il Javascript incorporato ha anche scaricato e lanciato Nemucod, un trojan downloader con una lunga storia di tirare giù una grande varietà di payload dannosi su PC compromessi. Gli utenti abbastanza sfortunati da incontrare questa versione dello script maligno hanno visto i loro PC presi in ostaggio dal ransomware Locky.
LinkedIn Phishing Attacks
LinkedIn è stato al centro di truffe online e attacchi di phishing per un certo numero di anni, principalmente a causa della ricchezza di dati che offre sui dipendenti delle aziende. Gli attori maligni estraggono questi dati per identificare i potenziali bersagli per gli attacchi di compromissione delle email aziendali, compresi i trasferimenti di denaro e le truffe di ingegneria sociale W-2, così come una serie di altri stratagemmi creativi. Ecco alcuni esempi che abbiamo visto attraverso il Phish Alert Button di KnowBe4:
In un caso un utente ha riferito di aver ricevuto un phish standard di credenziali Wells Fargo attraverso InMail di LinkedIn:
Nota che questo particolare InMail sembra provenire da un falso account Wells Fargo. Il link fornito porta ad un phish di credenziali abbastanza tipico (ospitato su un dominio maligno che è stato tolto):
Sembra che i cattivi abbiano creato un falso profilo Wells Fargo nel tentativo di apparire più autentico.
Un altro phish simile è stato consegnato ad un account di posta elettronica al di fuori di LinkedIn:
Questa email è stata consegnata attraverso LinkedIn, così come gli URL utilizzati per i diversi link inclusi nel footer di questa email (“Rispondi”, “Non interessato”, “Visualizza il profilo LinkedIn di Wells”):
Questi URL sono stati ovviamente auto-generati da LinkedIn stesso quando gli attori maligni hanno utilizzato le funzioni di messaggistica di LinkedIn per generare questo phish, che ha colpito l’account di posta elettronica esterno del bersaglio (al contrario della sua casella InMail, come nel caso del primo phish discusso sopra).
Frode CEO
Ecco un esempio di un cliente di KnowBe4 come bersaglio di una frode CEO. L’impiegato ha inizialmente risposto, poi si è ricordato del suo addestramento e ha invece segnalato l’e-mail utilizzando il Phish Alert Button, avvisando il suo dipartimento IT del tentativo di frode.
Quando l’impiegata non è riuscita a procedere con il bonifico, ha ricevuto un’altra email dai cattivi, che probabilmente pensavano fosse giorno di paga:
Top-Clicked Phishing Email Subjects
KnowBe4 riporta le email di phishing top-clicked per oggetto ogni trimestre in tre diverse categorie: soggetti legati ai social media, soggetti generali, e ‘In the Wild’ – questi risultati sono raccolti dai milioni di utenti che cliccano sul loro Phish Alert Button per segnalare email di phishing reali e permettono al nostro team di analizzare i risultati. Puoi trovare i risultati del trimestre più recente e di tutti i trimestri precedenti su KnowBe4.
Pagine correlate: Tecniche di Phishing, Truffe comuni di Phishing, Cos’è il Phishing