TENTATIVO DI TRUFFA CON E-MAIL DA CASELLA DI POSTA CERTIFICATA
ANALISI DI UN CASO REALE NEI NOSTRI LABORATORI, CONSIDERAZIONI E CONSIGLI.
I nostri sistemi di monitoraggio hanno catturato una mail di phishing molto particolare. Nella sostanza è una delle mail che minaccia di divulgare contenuti imbarazzanti catturati dal nostro Smartphone, ma presenta alcune caratteristiche che meritano di essere approfondite. In primo luogo vengono esposte le ultime 4 cifre del numero di cellulare del destinatario della mail e le 4 cifre sono realmente quelle del numero di cellulare della vittima. Inoltre la mail arriva da una casella di posta certificata valida e digitalmente firmata.
Anche la firma risulta valida.
Insospettiti da questi dettagli, abbiamo effettuato alcune verifiche.
Questa la mail incriminata
E questo il messaggio originale inviato via PEC
Nell’immagine in basso si vede la firma digitale:
Di fatto si tratta di un messaggio che arriva dalla posta certificata di un importante provider, ed il messaggio è firmato digitalmente dai server; questo aspetto curioso ci ha portato ad analizzare l’Header del messaggio dal quale abbiamo ricavato queste informazioni:
Dal nome del mittente, che abbiamo nascosto per motivi di privacy, siamo risaliti al proprietario della mail (che abbiamo successivamente avvisato). Il loro sito aziendale risulta compromesso, e sicuramente hanno subito un furto di credenziali, pertanto chi ha lanciato questa campagna di scam sta di fatto usando una mail legittima e certificata.
Analizzando l’header del messaggio originale infatti vediamo da dove è partito l’attacco:
Quindi la mail al provider è arrivato dall’IP 116.111.50.229:
Vediamo che si tratta un IP Vietnamita.
Un rapido sguardo, poi, al wallet bitcoin, ci permette di verificare che viene utilizzato in maniera piuttosto diffusa, soprattutto in Italia:
L’analisi di questo attacco ci ha portato ad alcune considerazioni.
In primo luogo, i truffatori hanno costruito la mail usando dati reali, poiché la mail del destinatario e le cifre del telefono sono quelli reali. Questo significa che sono a disposizione di chi lancia questi attacchi una serie di informazioni reali ma soprattutto che queste sono correlate e permettono di creare campagne mirate esponendo dati veri che possono indurre in inganno un utente. La domanda che sorge è allora: quanto altri dati, frutto dei numerosi leak subiti da vari attori nel web, avranno a disposizione per costruire campagne di attacco mirato?
La seconda considerazione riguarda la posta certificata e firmata. L’uso di questo veicolo pone dei seri interrogativi sull’affidabilità di questi sistemi. Infatti, è stata sfruttata una mail di posta certificata legittima e reale; difficilmente un sistema antispam bloccherà una mail del genere e gli utenti tendono a dare fiducia ad una PEC. Tralasciando le cause che hanno portato al furto delle credenziali legittime, quello che crediamo sia da rilevare è che purtroppo troppo spesso l’accesso alle caselle di posta certificata è debole, essendo un accesso web protetto da una semplice password, nel caso specifico questa è la form di login:
Forse sarebbe auspicabile che chi fornisce questo tipo di servizi iniziasse a creare dei meccanismi di autenticazione più robusti, usando sistemi OTP; in questo modo un furto di credenziali non sarebbe facilmente sfruttabile per portare attacchi di questo tipo.
Quanto evidenziato con questa analisi deve insegnarci che è necessario prestare sempre la massima attenzione ai messaggi di posta elettronica, anche se la sorgente sembra la più affidabile; questo esempio dimostra che un messaggio PEC firmato non è indice di affidabilità.
Inoltre, per chi possiede servizi PEC con accesso WEB è importante che le password di accesso siano gestite correttamente, con criteri di complessità nella password scelta, con dei criteri di cambio periodico della password, evitando di salvare la password sulle cache dei browser ed effettuando sempre il logout dall’applicativo web quando si è terminato di lavorare con esso.
In Internet, infine, facciamo sempre attenzione a cosa pubblichiamo, non pubblichiamo dati sensibili o strettamente personali, un attaccante può aggregare tutte le informazioni che lasciamo nella rete nel tempo ed utilizzarle contro di noi. Dobbiamo pensare, inoltre, che quello che pubblichiamo online potrebbe restarci per sempre.
Unica nota positiva, fino a ieri sera il wallet bitcoin non sembra abbia ricevuto transazioni:
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub