Il titolo “Il documento PDF che ruba la password” non è proprio corretto, ma volevo catturare la tua attenzione e farti leggere quello che segue.

Il documento PDF viene utilizzato sì ma esclusivamente per farti cliccare su un collegamento che porta su una pagina di Phishing, dove effettivamente vengono rubate le tue credenziali se non fai attenzione.

Questo attacco è simile ad uno spiegato in precedenza, con la differenza che questo, nel momento in cui scrivo, supera TUTTI i meccanismi di antispam, antiphishing e chiaramente antivirus visto che si tratta di una “semplice” pagina che dirotta sul servizio vero una volta che ti ha rubato la password.

Vediamo come funziona.

Come utilizzare un documento PDF come strumento di Phishing

Anche in questo caso chi riceve la mail la riceve da un partner con cui lavora strettamente.

Vista la fiducia nel mittente il link viene cliccato nella maggior parte dei casi.

Un occhio attento invece vede che l’impostazione della mail non è corretta.

Ecco l’immagine della mail ricevuta (è stata oscurata per motivi di riservatezza):

Tutti gli elementi corrispondono al vero, dal logo come intestazione alla firma sotto.

Dalla precisione lascia intuire che la casella del mittente sia stata potenzialmente violata, magari con un furto di password sfruttando questa stessa tecnica.

Cliccando sul collegamento si apre un documento PDF in anteprima su un portale di condivisione documenti, la data sul documento corrisponde alla data di invio e per visualizzare siamo invitati a cliccare NUOVAMENTE su un ULTERIORE link.

Cliccando il collegamento si apre una nuova scheda nel nostro browser dove abbiamo la possibilità di fare un accesso con le nostre credenziali.

Questa è la fase dove saranno rubati nome utente e password:

Tutti i pulsanti funzionano e portano il logo del servizio

Vengono date 3 scelte per effettuare il login:

Se non sei abbonato ai primi due servizi puoi utilizzare la tua mail.

Se proviamo con una mail non esistente ecco cosa succede:

Vieni inviato alla pagina del servizio e se hai già effettuato l’accesso entri direttamente nella casella di posta.

La password è stata rubata! Ora è in mano all’Hacker

Il portale in questione utilizzato ha ospitato documenti PDF ad hoc di diverse aziende:

Questa operazione tratta un attacco, a mio avviso mirato.

Probabilmente sono entrati in caselle email del mittente con una password facile e hanno potuto inviare email a varie persone nella rubrica.

Puoi capire che diventa una catena lunghissima se tutti tentano di accedere.

Cosa hanno utilizzato per l’attacco?

Per questo attacco specifico hanno utilizzato un servizio pubblico di posta elettronica, dove il mittente ha autorizzato l’invio della posta per conto suo e un servizio che ospita documenti.

Come posso capire se il sito è vero o falso?

Ogni giorno riceviamo una marea di email, chi più chi meno.

Siamo sempre di corsa e spesso succede che stiamo aspettando documenti importanti.

Peccato che questo ci porta a fare tutto molto velocemente ed in modo automatico, creando un problema di sicurezza non indifferente.

Vediamo con calma il sito su cui atterriamo dopo il click nella mail:

Lo vedi l’indirizzo? Non rigaurda il vero servizio.

Se eliminiamo dall’indirizzo la parte dopo il dominio abbiamo un sito che non ha nulla

E per ogni documento che abbiamo visto sopra è stato creato un sito su un nome a dominio diverso.

Questo è stato fatto in modo da non far indicizzare dai motori di ricerca il sito al fine di non identificarlo come Phishing

Anche il documento ha parti grafiche fatte male che dovrebbero far pensare.

Ad esempio il logo schiacciato:

Il link e il testo sottostante:

Un primo link ad un servizio che non ha nulla a che fare con il servizio di Microsoft:

E come già visto prima il link che dovrebbe corrispondere al servizio di condivisione:

Come puoi difendersi da questo tipo di attacco?

Identificare il mittente in questo caso non ti serve a nulla, a tutti gli effetti il mittente è verosimile.

Quello che puoi fare è seguire queste semplici regole:

  • NON aprire allegati che non aspettavi
  • VERIFICA il link nel browser che sia quello del servizio vero
  • Se non sei abbonato ad un servizio NON INSERIRE NESSUNA PASSWORD
  • NON INSERIRE MAI le tue credenziali su pagine aperte tramite email, accedi al link del fornitore del servizio attraverso il sito
  • Se hai dei dubbi CAMBIA la tua password
  • NON utilizzare la stessa password ovunque
  • Se hai dei dubbi CAMBIA la tua password
  • NON utilizzare la stessa password ovunque
  • Ogni tanto dai un’occhiata alla cartella della posta inviata, potrebbero esserci email che non ha inviato tu, e questo significa che la tua casella è stata compromessa

Ripeto, se hai dei dubbi CAMBIA la tua password e NON utilizzare la stessa password ovunque.

Un attacco simile lo trovi qui: https://comedifendersidaglihacker.com/phishing-mirato-in-corso

Come puoi aiutare i tuoi colleghi o collaboratori?

Inoltra questo articolo ai tuoi colleghi o collaboratori.

Come rimanere aggiornato sulle minacce?

Iscriviti qui sotto per ricevere gli articoli tramite email.