“Il modo più veloce per scoprire una password è chiederla.”
Kevin Mitnick – Il Condor (hacker più famoso al mondo)
Qualche giorno fa ricevo un messaggio da un cliente che mi dice “ho ricevuto una mail sospetta, la potresti controllare? “, conoscendo bene che la persona non mi segnala cose evidenti gli rispondo “certo, inviami la mail come allegato”.
Ricevo la mail nel sistema dove eseguo questo tipo di verifiche e inizio a vedere che la mail è realmente partita dal contatto del cliente. Quindi qualcuno è entrato nella casella e lo ho ha sfruttato.
La mail ricevuta conteneva un file da visualizzare online e si presentava come DocuSign, software che permette di gestire contratti in forma elettronica e presentava questa veste grafica:
E fino a qui l’impostazione della mail è identica al servizio reale come puoi vedere:
Clicco sul pulsante “Review Document” e si apre una pagina internet su OneNote di Microsoft ad un link vero del servizio, quindi da DocuSign a OneNote!
Questo dovrebbe essere un primo campanello di allarme, va bene sei di fretta e non ti accorgi… Il problema è che essendo un collegamento tramite un servizio reale, in una pagina reale nessun antivirus blocca.
Nella schermata compare il nome della società mittente che crea una falsa sicurezza al destinatario che viene ancora invitato a cliccare, ancora una volta, essendo l’unica operazione per poter andare avanti.
Cliccando appare la schermata di accesso all’account Microsoft.
Ed ecco il secondo campanello di allarme! L’indirizzo è falso ma non ci fai caso e inserisci le credenziali! E Boooooooom!!! Il tuo indirizzo mail e la tua password vengono catturati!
Nascondo l’indirizzo perché purtroppo è ancora operativo e a breve capirai il motivo.
Analizzando la pagina durante il caricamento vedo passare un link diverso, lo apro e finisco in una pagina senza nulla (nascondo anche qui l’indirizzo perché è ancora in funzione):
Apparentemente non c’è nulla, ma andando a fondo scopro che questo sito si occupa di raccogliere le credenziali degli utenti che inseriscono i propri dati di accesso all’Account Microsoft.
Questo sito oltre alla raccolta si occupa di inviare ad altri sistemi i dati rubati.
Ma la cosa più grave che ho scoperto è che tutte le password catturate sono salvate in un file di testo in chiaro, dove CHIUNQUE può accedere senza autorizzazione.
Senza nome utente e password.
Capisci perché ho oscurato i link?
Prima cosa che ho fatto è stata quella di segnalare alle autorità tutti e due i link, ma dopo 48 ore purtroppo era ancora tutto operativo.
Nella lista che viene svuotata frequentemente sono state inserite sia e-mail private, sia e-mail aziendali per poi essere riutilizzate in seguito per vari scopi che non sto qui a elencare ma che si leggono tutti i giorni su giornali o TG.
In questa mega pesca sicuramente qualche dato interessante c’è e verrà sfruttato se nessuno fa nulla.
Ho quindi deciso, ci ho pensato tanto tempo attendendo anche una risposta legale, di prevenire problemi a chi è cascato in questa trappola e di avvisare con una mail del fatto che sono stati vittime di Phishing.
Phishing e ingegneria sociale, ecco applicata alla lettera la celebre frase del Condor di cui ti parlo a inizio articolo!
Non sempre una mail è facilmente riconoscibile, soprattutto quando magari non si è del mestiere. Ma con qualche semplice accorgimento, vedendo esempi che pubblico qui, imparando a leggere i link che ricevi o di pagine che apri, puoi anche tu ridurre e addirittura azzerare il rischio di cadere nella trappola di un Hacker.
Se ti stai chiedendo come posso sapere se sono tra le vittime di questi hacker, beh, per prima cosa potresti ricevere una mail da me, ma da subito puoi rispondere queste domande:
- Utilizzo la stessa password ovunque?
- Utilizzo password casuali?
- Quando ho cambiato le mie password l’ultima volta?
- Salvo le password in un luogo sicuro?
Rispondi sinceramente a queste domande, e se cambi anche ora le password dei tuoi account forse ti sentirai più sicuro o più sicura.
Cambiare le tue password soprattutto per gli account più importanti non ha mai ucciso nessuno, non farlo avendo il dubbio di essere stati vittime potrebbe portare delle conseguenze.