Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…
Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.
Possiamo quindi esaminare due scenari.
Email.it è uno dei principali portali Italiani ad offrire caselle di posta elettronica (gratuite o a pagamento) con oltre mezzo milione di caselle realmente attive. Durante lo scorso week-end del 20 e 21 Maggio 2017 abbiamo rilevato una campagna di Phishing ai danni degli utilizzatori dei servizi offerti. Il provider Italiano si avvale della piattaforma di posta elettronica Zimbra per offrire l’accesso alla WebMail e proprio il Phisher fa leva su questa caratteristica recentemente pubblicizzata dal portale per veicolare al meglio il tentativo di Phishing.
L’eMail rilevata, che riportiamo integralmente di seguito, chiede all’utente di confermare le proprie credenziali di accesso causa un ipotetica chiusura degli account, ma chiede inoltre anche l’attuale occupazione, la data di nascita e il paese di residenza.
Ciao cari Membri Webmail/Zimbra.it Utenti
A causa della congestione del traffico in tutti gli account utente Webmail/Zimbra.it!,Webmail/Zimbra.it! sarebbe la chiusura di tutti gli account non utilizzati. Per evitare di disattivare il tuo account, devi confermare il tuo indirizzo e-mail compilando tuoi dati di accesso qui di seguito, cliccando sul pulsante Rispondi. I dati personali richiesti è per la sicurezza del tuo Webmail/Zimbra.it account.Si prega di compilare tutte le informazioni richieste.Nome utente:………………………………………….
Indirizzo e-mail:…………………………………….
Password: ……………………………………………
Data di nascita:………………………………………
Occupazione:………………………………………….
Paese di residenza:…………………………………….Dopo aver seguito le istruzioni del foglio, il tuo Webmail/Zimbra.it account! account non verrà interrotto e continuerà come al solito. Grazie per la vostra azione di cooperazione solito. Ci scusiamo per gli eventuali disagi.
Webmail/Zimbra.it! Servizio Clienti
Caso numero: 8941624
Bene: Account Security
Contatta Data: 20-05-2017
L’intento del Phisher è indubbiamente quello di ottenere l’accesso alle caselle eMail della vittima e successivamente carpire informazioni sensibili (messaggi e allegati confidenziali), arricchire le proprio liste di eMail a cui spedire Phishing o inviare eMail direttamente dalla casella della vittima.
Abbiamo risposto al Phisher fornendogli dati fittizi, ma integrando un tracciante per profilare il truffatore. L’eMail è stata letta tre volte nell’arco di 24h, probabile perché ha tentato più volte le credenziali errate che gli erano state fornite, l’User Agent ci rivela che l’eMail vengono lette tramite il Browser e la relativa WebMail vanificando un eventuale tracciatura dell’IP ma veniamo a conoscenza dell’uso di Google Chrome e del sistema operativo Microsoft Windows infine il linguaggio del Browser è Francese (fr-FR).
Il phisher potrebbe essere Francese o conoscere molto bene la lingua Francese da preferirla rispetto alla sua lingua nativa, in passato abbiamo già discusso di una forte comunità di Phisher di origine Marocchina.