Informatica in Azienda di Emanuel Celano รจ Partner di Sophos, una delle aziende leader nel settore della sicurezza informatica. In un recente articolo sul suo sito Sophos descrive un caso molto interessante che vogliamo portare alla vostra attenzione per mantenere un livello di attenzione sempre molto alto. Si tratta di una truffa dopo la creazione di un dominio simile a quello di facebook che mette in discussione la sicurezza della autenticazione a due fattori. Leggiamo insieme i dettagli dell’articolo dal titolo : “Il phishing di Facebook 2FA arriva solo 28 minuti dopo la creazione del dominio truffa”.
Racconteremo questa storia principalmente attraverso le immagini, perchรฉ un’immagine vale piรน di mille parole.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Questo crimine informatico รจ un promemoria visivo di tre cose:
- ร facile cadere in una truffa di phishingย se sei di fretta.
- I criminali informatici non perdono tempo aย far partire nuove truffe.
- 2FA non รจ una panacea per la sicurezza informatica,ย quindi hai ancora bisogno del tuo ingegno su di te.
Erano passati 19 minuti…
A 19 minuti dopo le 3 ora del Regno Unito di oggi [2022-07-01T14:19:00.00Z], i criminali dietro questa truffa hanno registrato un nome di dominio generico e ineccepibile del moduloย control-XXXXX.com, doveย XXXXXera una stringa di cifre dall’aspetto casuale, sembra un numero di sequenza o un ID server:
28 minuti dopo, alle 15:47 ora del Regno Unito, abbiamo ricevuto un’e-mail, collegata a un server chiamatoย facebook.control-XXXX.com, che ci informava che potrebbe esserci un problema con una delle pagine Facebook di cui ci occupiamo:
Come puoi vedere, il link nell’e-mail, evidenziato in blu dal nostro client di posta elettronica Oulook, sembra andare direttamente e correttamente alย facebook.comdominio.
Ma quell’e-mail non รจ un’e-mail di testo in chiaro e quel collegamento non รจ una stringa di testo in chiaro che rappresenta direttamente un URL.
Intermezzo promozionale ... continua la lettura dopo il box:
Invece, รจ un’e-mail HTML contenente un collegamento HTML in cui ilย testoย del collegamento sembra un URL, ma in cui ilย collegamento effettivoย (noto comeย href, abbreviazione diย riferimento ipertestualeย ) va alla pagina dell’impostore del truffatore:
Di conseguenza, fare clic su un collegamento che sembrava un URL di Facebook ci ha portato invece al sito fasullo del truffatore:
A parte l’URL errato, che รจ mascherato dal fatto che inizia con il testoย facebook.contact, quindi potrebbe passare se sei di fretta, non ci sono errori ortografici o grammaticali evidenti qui.
L’esperienza e la cura dei dettagli di Facebook fanno sรฌ che l’azienda probabilmente non avrebbe tralasciato lo spazio prima delle paroleย โSe ci pensiโย , e non avrebbe utilizzato l’insolito testoย exย per abbreviare la parolaย โesempioโย .
Ma siamo disposti a scommettere che alcuni di voi potrebbero non aver notato comunque quei difetti, se non li avessimo menzionati qui.
Se dovessi scorrere verso il basso (o avevi piรน spazio di quello che abbiamo per gli screenshot), potresti aver individuato un errore di battitura piรน avanti, nel contenuto che i truffatori hanno aggiunto per cercare di rendere la pagina utile.
Oppure potresti no: abbiamo evidenziato l’errore di ortografia per aiutarti a trovarlo:
Successivamente, i truffatori hanno chiesto la nostra password, che di solito non farebbe parte di questo tipo di flusso di lavoro del sito Web, ma chiederci di autenticarci non รจ del tutto irragionevole:
Abbiamo evidenziato il messaggio di erroreย “Password errata”ย , che viene visualizzato qualunque cosa tu digiti, seguito da una ripetizione della pagina della password, che quindi accetta qualunque cosa tu inserisca.
Questo รจ un trucco comune utilizzato in questi giorni e supponiamo che sia perchรฉ c’รจ ancora un vecchio e stanco consiglio sulla sicurezza informatica che dice: “Inserisci deliberatamente la password sbagliata la prima volta, il che esporrร immediatamente i siti di truffa perchรฉ non lo sanno la tua vera password e quindi saranno costretti ad accettare quella falsaโ.
Per essere chiari, questo non รจ MAI stato un buon consiglio, anche quando si va di fretta, perchรฉ รจ facile digitare una password โsbagliataโ che รจ inutilmente simile a quella reale, come sostituireย pa55word!con una stringa comeย pa55pass!invece di pensare a cose non correlate comeย 2dqRRpe9b.
Inoltre, come chiarisce questo semplice trucco, se la tua “precauzione” consiste nel fare attenzione a un apparente fallimento seguito da un apparente successo, i truffatori ti hanno semplicemente cullato banalmente in un falso senso di sicurezza.
Abbiamo anche evidenziato che i truffatori hanno anche aggiunto deliberatamente una casella di controllo del consenso leggermente fastidiosa, solo per dare all’esperienza una patina di formalitร ufficiale.
Ora hai consegnato ai criminali il tuo nome account e password…
…chiedono immediatamente il codice 2FA visualizzato dalla tua app di autenticazione, che teoricamente offre ai criminali tra 30 secondi e pochi minuti per utilizzare il codice monouso in un tentativo di accesso fraudolento a Facebook:
Anche se non utilizzi un’app di autenticazione, ma preferisci ricevere i codici 2FA tramite sms, i truffatori possono provocare un SMS sul tuo telefono semplicemente iniziando ad accedere con la tua password e quindi facendo clic sul pulsante per inviarti un codice.
Infine, con un altro trucco comune di questi tempi, i criminali ammorbidiscono lo smontaggio, per cosรฌ dire, reindirizzandoti casualmente a una pagina Faceook legittima alla fine.
Questo dร l’impressione che il processo sia terminato senza problemi di cui preoccuparsi:
Cosa fare?
Non innamorarti di truffe come questa.
- Non utilizzare i collegamenti nelle e-mail per raggiungere le pagine ufficiali di “ricorso” sui siti di social media.ย Scopri dove andare tu stesso e tieni un registro locale (su carta o nei tuoi segnalibri), in modo da non dover mai utilizzare i collegamenti Web e-mail, che siano autentici o meno.
- Controlla attentamente gli URL delle email.ย Un collegamento con testo che di per sรฉ assomiglia a un URL non รจ necessariamente l’URL a cui il collegamento ti indirizza.ย Per trovare il vero link di destinazione, passa il mouse sopra il link con il mouse (o tocca e tieni premuto il link sul tuo cellulare).
- Controlla attentamente i nomi di dominio del sito web.ย Ogni carattere รจ importante e la parte commerciale di qualsiasi nome di server รจ alla fine (il lato destro nelle lingue europee che va da sinistra a destra), non all’inizio.ย Se possiedo il dominioย
dodgy.example, all’inizio posso inserire qualsiasi marchio che mi piace, comeยvisa.dodgy.exampleoยwhitehouse.gov.dodgy.example.ย Questi sono semplicemente sottodomini del mio dominio fraudolento e altrettanto inaffidabili come qualsiasi altra parte diยdodgy.example. - Se il nome di dominio non รจ chiaramente visibile sul tuo cellulare,ย considera di aspettare fino a quando non potrai utilizzare un normale browser desktop, che in genere ha molto piรน spazio sullo schermo per rivelare la vera posizione di un URL.
- Considera un gestore di password.ย I gestori di password associano nomi utente e password di accesso a servizi e URL specifici.ย Se finisci su un sito impostore, non importa quanto possa sembrare convincente, il tuo gestore di password non si farร ingannare perchรฉ riconosce il sito dal suo URL, non dal suo aspetto.
- Non avere fretta di inserire il tuo codice 2FA.ย Usa l’interruzione nel tuo flusso di lavoro (ad esempio il fatto che devi sbloccare il telefono per accedere all’app generatore di codice) come motivo per controllare quell’URL una seconda volta, solo per essere sicuro.
Ricorda che i truffatori di phishing si muovono molto velocemente in questi giorni per sfruttare nuovi nomi di dominio il piรน rapidamente possibile.
