Office 365: quando il phishing si nasconde nelle immagini
Le moderne soluzioni anti-phishing e anti-spam si basano sempre più su una varietà di tecnologie di apprendimento automatico. L’uso di reti neurali per analizzare i testi rende difficile ingannare questi meccanismi, ed è per questo che i cybercriminali si sono rivolti verso un trucco semplice ma efficace: inserire il testo in un’immagine. Successivamente, come riportano gli esperti di Kaspersky, aggiungono l’immagine al corpo del messaggio usando la codifica Base64 (generalmente, le immagini nei messaggi di posta elettronica sono ospitate su un sito web esterno e i client di posta non caricano le immagini delle e-mail provenienti dall’esterno dell’azienda). La maggior parte di queste e-mail vanno alla caccia delle credenziali di accesso a Microsoft Office 365.
Un’e-mail di phishing di questo tipo è fondamentalmente un’immagine su uno sfondo bianco (in questo si confonde con l’interfaccia predefinita di Outlook). Ecco qui un esempio di quanto stiamo parlando:
Non c’è alcuna ragione legale per cui il formato di questa (o di una qualsiasi altra) e-mail debba essere un’immagine. In particolare, le e-mail generate automaticamente come le verifiche di account usano del testo. Controllare se l’e-mail è un’immagine o un testo è semplice: passate sopra un collegamento ipertestuale o un pulsante e verificate se il cursore del mouse cambia (con un testo normale lo farà). In questo caso, invece, cliccando su qualsiasi punto dell’immagine si aprirà il collegamento ipertestuale perché l’URL di destinazione è collegato all’immagine: in pratica l’intera immagine è un pulsante/collegamento ipertestuale.
Se vi resta ancora qualche dubbio, provate a evidenziare una parte del testo o a ridimensionare la finestra del vostro programma di posta. Se si tratta di un’immagine, non sarete in grado di evidenziare alcuna parola e il ridimensionamento della finestra non causerà l’adattamento o il cambiamento della lunghezza delle righe di testo.
Lo stile generale della e-mail non conferisce maggiore credibilità: i caratteri e l’interlinea variano, l’uso della punteggiatura è improprio e il linguaggio è inusuale. Sono tutti segnali di una probabile truffa. Certo, le persone commettono errori, ma i template di Microsoft tendono a non averne. Se vi accorgete di così tanti errori evidenti in un’e-mail, molto probabilmente si tratta di phishing. Anche la pretesa che l’account debba essere verificato entro 48 ore dovrebbe farvi suonare un ulteriore campanello d’allarme. I truffatori spesso cercano di mettere fretta agli utenti affinché compiano azioni avventate.
Mettendo da parte l’e-mail, nemmeno il sito a cui si riferisce sembra convincente. Un sito legale appartenente a Microsoft dovrebbe essere ospitato su un dominio Microsoft; tuttavia, il banner “Create your website with WordPress.com” evidenzia chiaramente che il sito è stato costruito utilizzando la piattaforma di hosting gratuita WordPress. Nel complesso, un sito web di questo tipo assomiglia a uno vero, ma di 25 anni fa forse. Ecco la moderna pagina di accesso ai servizi Microsoft, affinché possiate fare un confronto: https://login.microsoftonline.com/.
Per difendersi da queste minacce, Kaspersky consigli una soluzione di sicurezza affidabile che riveli le e-mail di phishing basandosi su diversi fattori, non solo sulla mera analisi del testo. Anche ogni postazione di lavoro dei dipendenti e ogni dispositivo connesso hanno bisogno di sicurezza aggiuntiva, che farà da ulteriore barriera contro il phishing e altri trucchi.
Infine, non dimenticate di continuare a fomentare una maggiore consapevolezza tra i dipendenti delle best practices di sicurezza informatica attraverso una adeguata formazione. Se il personale è a conoscenza dei metodi più moderni impiegati dai cybercrminali, è meno probabile che cadano nella trappola del phishing.