Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, ha pubblicato il suo Q4 2022 Brand Phishing Report, evidenziando i brand più imitati dai criminali nel corso dei mesi di ottobre, novembre e dicembre 2022. Yahoo è diventato il primo brand oggetto di phishing nello scorso trimestre, salendo di 23 posizioni nella classifica rispetto al trimestre precedente. Le e-mail pensate dai criminali informatici inducono a pensare che il destinatario abbia vinto premi e riconoscimenti, ma CPR ricorda di prestare molta attenzione quando le e-mail sembrano troppo belle per essere vere.
· Il 20% di tutti i tentativi di brand phishing dello scorso trimestre erano legati a Yahoo
· I brand che seguono sono DHL (16%), Microsoft (11%), Google (5,8%) e Linkedin (5,7%)
· Esempi di tentativi di brand phishing che coinvolgono Instagram, Microsoft e Adobe vengono condivisi di seguito
Cosa sono gli attacchi di brand phishing?
In un attacco brand phishing, gli attaccanti cercano di imitare il sito ufficiale di un noto brand utilizzando un domain name o un URL e un design della pagina web, molto simili a quelli del sito autentico. Il link al falso sito web può essere inviato alle vittime, indirizzando la loro navigazione web, tramite e-mail, messaggi di testo o attraverso un’app mobile fraudolenta. Il sito web falso spesso contiene un form destinato a rubare le credenziali degli utenti, i dettagli per il pagamento online o altre informazioni personali.
I 10 brand più imitati
1. Yahoo (20%)
2. DHL (16%)
3. Microsoft (11%)
4. Google (5.8%)
5. Linkedin (5.7%)
6. Wetransfer (5.3%)
7. Netflix (4.4%)
8. FedEx (2.5%)
9. HSBC (2.3%)
10. WhatsApp (2.2%)
Riflettori puntati su Yahoo
Nel quarto trimestre del 2022, il 20% di tutti i tentativi di brand phishing hanno coinvolto Yahoo. CPR ha individuato campagne che includevano e-mail di phishing malevoli, che si avvalevano del brand, contenenti l’oggetto “YAHOO AWARD”, e inviate da mittenti con username come “Award Promotion”, “Award Center”, “info winning” o “Award Winning”.
Il contenuto delle e-mail distribuite informava le vittime di aver vinto premi in denaro del valore di centinaia di migliaia di dollari, in concorsi organizzati da Yahoo. L’e-mail richiedeva ai destinatari di inviare i propri dati personali e bancari, sostenendo che queste informazioni fossero necessarie per trasferire il premio in denaro vinto sul loro conto. Inoltre, l’e-mail invitava la vittima a non comunicare a nessuno della vincita del premio, a causa di problemi legali.
Omer Dembinksy, Data Group Manager di Check Point Software:
“Lo scorso trimestre, il 20% di tutti i tentativi di brand phishing ha coinvolto Yahoo, collocandolo in cima alla lista dei brand più imitati. Gli attaccanti hanno cercato di adescare le persone con premi e vincite in denaro. Il problema è sempre uno: se è troppo bello per essere vero, lo è quasi sempre.
Il settore tecnologico è stato il più imitato nello scorso trimestre, seguito da quello delle spedizioni e dai social network. DHL ha raggiunto la seconda posizione con il 16% di tutti i tentativi di brand phishing, precedendo Microsoft al terzo posto con l’11%. Il secondo posto di DHL, potrebbe essere dovuto alla consueta stagione di acquisti online del Black Friday, del Cyber Monday e di Natale, durante la quale i criminali hanno sfruttato la situazione condividendo notifiche di consegne fasulle.
Per proteggervi da un attacco di brand phishing, evitate di cliccare su link o allegati sospetti e controllate sempre l’URL della pagina a cui venite indirizzati. Cercate gli errori ortografici nel testo delle e-mail e non fornite mai informazioni non necessarie.”
Esempi di brand phishing nel Q422
Instagram
CPR ha osservato un’e-mail di phishing da parte dell’indirizzo “badge@mail-ig[.]com”. L’e-mail è stata inviata con l’oggetto “blue badge form” e il contenuto cercava di indurre la vittima a cliccare su un link malevolo, sostenendo che l’account Instagram della vittima sarebbe stato esaminato dal team di Facebook (proprietario del brand Instagram) e ritenuto idoneo per la cosiddetta spunta blu.
Figura 1. E-mail malevola con oggetto “Blue Badge form”
Figura 2: pagina di login fasulla “https://www[.]verifiedbadgecenters[.]xyz/contact/”
Microsoft
Di seguito viene mostrato un tentativo di furto di informazioni dell’account Microsoft di un utente. L’e-mail, inviata dall’indirizzo “teamsalert_Y3NkIGpoY2pjc3dzandpM3l1ODMzM3Nuc2tlY25taXc@gmx[.]com[.]my” con un falso nome , “Teams”, che conteneva l’oggetto “Sei stato aggiunto a un nuovo team”.
L’aggressore cercava di attirare la vittima a cliccare sul link malevolo sostenendo di essere stata aggiunta in un nuovo team all’interno dell’applicazione. L’eventuale conferma di collaborazione portava a un sito Web malevolo “https://u31315517[.]ct[.]sendgrid[.]net/ls/click”, non più attivo.
Figura 3: L’email malevola che conteneva l’oggetto “Sei stato aggiunto a un nuovo team”
Adobe
L’e-mail di phishing qui di seguito riportata, che utilizza il brand Abode, è stata inviata dall’indirizzo “grupovesica@adobe-partner[.]com” e il suo oggetto, originariamente in spagnolo, era: “Attiva la tua licenza! Approfitta dei suoi vantaggi” (originariamente: “¡Activa tu licencia! Aprovecha sus beneficios”). Nell’e-mail la vittima viene incoraggiata a contattare gli esperti per utilizzare la licenza di applicazione.
Facendo clic sul seguente contenuto dell’e-mail “https://adobeconciergeservices[.]com/_elink/bfgkw374wekci/bcplw9h143poj/bdpip0zrm95o3”, veniva aperta una nuova bozza in Outlook indirizzata a un’e-mail straniera (non associata ad Adobe), nella quale l’utente doveva inserire i dati di credito e le informazioni per attivare la licenza.
Figura 4: E-mail di phishing con oggetto “Attiva la tua licenza! Approfitta dei suoi vantaggi”