Informatica in Azienda di Emanuel Celano è Partner di Sophos, una delle aziende leader nel settore della sicurezza informatica. In un recente articolo sul suo sito Sophos descrive un caso molto interessante che vogliamo portare alla vostra attenzione per mantenere un livello di attenzione sempre molto alto. Si tratta di una truffa dopo la creazione di un dominio simile a quello di facebook che mette in discussione la sicurezza della autenticazione a due fattori. Leggiamo insieme i dettagli dell’articolo dal titolo : “Il phishing di Facebook 2FA arriva solo 28 minuti dopo la creazione del dominio truffa”.
Racconteremo questa storia principalmente attraverso le immagini, perché un’immagine vale più di mille parole.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Questo crimine informatico è un promemoria visivo di tre cose:
- È facile cadere in una truffa di phishing se sei di fretta.
- I criminali informatici non perdono tempo a far partire nuove truffe.
- 2FA non è una panacea per la sicurezza informatica, quindi hai ancora bisogno del tuo ingegno su di te.
Erano passati 19 minuti…
A 19 minuti dopo le 3 ora del Regno Unito di oggi [2022-07-01T14:19:00.00Z], i criminali dietro questa truffa hanno registrato un nome di dominio generico e ineccepibile del modulo control-XXXXX.com, dove XXXXXera una stringa di cifre dall’aspetto casuale, sembra un numero di sequenza o un ID server:
28 minuti dopo, alle 15:47 ora del Regno Unito, abbiamo ricevuto un’e-mail, collegata a un server chiamato facebook.control-XXXX.com, che ci informava che potrebbe esserci un problema con una delle pagine Facebook di cui ci occupiamo:
Come puoi vedere, il link nell’e-mail, evidenziato in blu dal nostro client di posta elettronica Oulook, sembra andare direttamente e correttamente al facebook.comdominio.
Ma quell’e-mail non è un’e-mail di testo in chiaro e quel collegamento non è una stringa di testo in chiaro che rappresenta direttamente un URL.
Intermezzo promozionale ... continua la lettura dopo il box:
Invece, è un’e-mail HTML contenente un collegamento HTML in cui il testo del collegamento sembra un URL, ma in cui il collegamento effettivo (noto come href, abbreviazione di riferimento ipertestuale ) va alla pagina dell’impostore del truffatore:
Di conseguenza, fare clic su un collegamento che sembrava un URL di Facebook ci ha portato invece al sito fasullo del truffatore:
A parte l’URL errato, che è mascherato dal fatto che inizia con il testo facebook.contact, quindi potrebbe passare se sei di fretta, non ci sono errori ortografici o grammaticali evidenti qui.
L’esperienza e la cura dei dettagli di Facebook fanno sì che l’azienda probabilmente non avrebbe tralasciato lo spazio prima delle parole “Se ci pensi” , e non avrebbe utilizzato l’insolito testo ex per abbreviare la parola “esempio” .
Ma siamo disposti a scommettere che alcuni di voi potrebbero non aver notato comunque quei difetti, se non li avessimo menzionati qui.
Se dovessi scorrere verso il basso (o avevi più spazio di quello che abbiamo per gli screenshot), potresti aver individuato un errore di battitura più avanti, nel contenuto che i truffatori hanno aggiunto per cercare di rendere la pagina utile.
Oppure potresti no: abbiamo evidenziato l’errore di ortografia per aiutarti a trovarlo:
Successivamente, i truffatori hanno chiesto la nostra password, che di solito non farebbe parte di questo tipo di flusso di lavoro del sito Web, ma chiederci di autenticarci non è del tutto irragionevole:
Abbiamo evidenziato il messaggio di errore “Password errata” , che viene visualizzato qualunque cosa tu digiti, seguito da una ripetizione della pagina della password, che quindi accetta qualunque cosa tu inserisca.
Questo è un trucco comune utilizzato in questi giorni e supponiamo che sia perché c’è ancora un vecchio e stanco consiglio sulla sicurezza informatica che dice: “Inserisci deliberatamente la password sbagliata la prima volta, il che esporrà immediatamente i siti di truffa perché non lo sanno la tua vera password e quindi saranno costretti ad accettare quella falsa”.
Per essere chiari, questo non è MAI stato un buon consiglio, anche quando si va di fretta, perché è facile digitare una password “sbagliata” che è inutilmente simile a quella reale, come sostituire pa55word!con una stringa come pa55pass!invece di pensare a cose non correlate come 2dqRRpe9b.
Inoltre, come chiarisce questo semplice trucco, se la tua “precauzione” consiste nel fare attenzione a un apparente fallimento seguito da un apparente successo, i truffatori ti hanno semplicemente cullato banalmente in un falso senso di sicurezza.
Abbiamo anche evidenziato che i truffatori hanno anche aggiunto deliberatamente una casella di controllo del consenso leggermente fastidiosa, solo per dare all’esperienza una patina di formalità ufficiale.
Ora hai consegnato ai criminali il tuo nome account e password…
…chiedono immediatamente il codice 2FA visualizzato dalla tua app di autenticazione, che teoricamente offre ai criminali tra 30 secondi e pochi minuti per utilizzare il codice monouso in un tentativo di accesso fraudolento a Facebook:
Anche se non utilizzi un’app di autenticazione, ma preferisci ricevere i codici 2FA tramite sms, i truffatori possono provocare un SMS sul tuo telefono semplicemente iniziando ad accedere con la tua password e quindi facendo clic sul pulsante per inviarti un codice.
Infine, con un altro trucco comune di questi tempi, i criminali ammorbidiscono lo smontaggio, per così dire, reindirizzandoti casualmente a una pagina Faceook legittima alla fine.
Questo dà l’impressione che il processo sia terminato senza problemi di cui preoccuparsi:
Cosa fare?
Non innamorarti di truffe come questa.
- Non utilizzare i collegamenti nelle e-mail per raggiungere le pagine ufficiali di “ricorso” sui siti di social media. Scopri dove andare tu stesso e tieni un registro locale (su carta o nei tuoi segnalibri), in modo da non dover mai utilizzare i collegamenti Web e-mail, che siano autentici o meno.
- Controlla attentamente gli URL delle email. Un collegamento con testo che di per sé assomiglia a un URL non è necessariamente l’URL a cui il collegamento ti indirizza. Per trovare il vero link di destinazione, passa il mouse sopra il link con il mouse (o tocca e tieni premuto il link sul tuo cellulare).
- Controlla attentamente i nomi di dominio del sito web. Ogni carattere è importante e la parte commerciale di qualsiasi nome di server è alla fine (il lato destro nelle lingue europee che va da sinistra a destra), non all’inizio. Se possiedo il dominio
dodgy.example, all’inizio posso inserire qualsiasi marchio che mi piace, comevisa.dodgy.exampleowhitehouse.gov.dodgy.example. Questi sono semplicemente sottodomini del mio dominio fraudolento e altrettanto inaffidabili come qualsiasi altra parte didodgy.example. - Se il nome di dominio non è chiaramente visibile sul tuo cellulare, considera di aspettare fino a quando non potrai utilizzare un normale browser desktop, che in genere ha molto più spazio sullo schermo per rivelare la vera posizione di un URL.
- Considera un gestore di password. I gestori di password associano nomi utente e password di accesso a servizi e URL specifici. Se finisci su un sito impostore, non importa quanto possa sembrare convincente, il tuo gestore di password non si farà ingannare perché riconosce il sito dal suo URL, non dal suo aspetto.
- Non avere fretta di inserire il tuo codice 2FA. Usa l’interruzione nel tuo flusso di lavoro (ad esempio il fatto che devi sbloccare il telefono per accedere all’app generatore di codice) come motivo per controllare quell’URL una seconda volta, solo per essere sicuro.
Ricorda che i truffatori di phishing si muovono molto velocemente in questi giorni per sfruttare nuovi nomi di dominio il più rapidamente possibile.
