Email di phishing catturate sfruttando DocuSign e COVID-19

Un nuovo attacco scoperto da Abnormal Security mira a rubare le credenziali dell’account dalle persone che utilizzano la piattaforma di firma dei documenti online.

Le e-mail di phishing in genere cercano di irretire le loro vittime impersonando società, marchi, prodotti e altri oggetti noti usati da molte persone. Se le e-mail possono fare riferimento a un argomento di interesse o preoccupazione per i destinatari, tanto meglio. DocuSign è uno strumento di firma elettronica sicuro utilizzato da molte organizzazioni per facilitare e accelerare il processo di acquisizione di firme su importanti documenti aziendali. La quarantena del coronavirus ha costretto più persone a lavorare in remoto, quindi un servizio come DocuSign è probabilmente molto più richiesto del solito.

Una nuova campagna di phishing analizzata da Abnormal Security mostra come i criminali informatici stiano sfruttando DocuSign, il coronavirus e il passaggio al lavoro remoto per cercare di acquisire le credenziali dell’account. In un post sul blog pubblicato venerdì, Anormal Security ha spiegato come funziona questa campagna.

VEDERE: Top 100+ suggerimenti per telelavoratori e manager (PDF gratuito) (TechRepublic)

L’e-mail di phishing stessa cerca di apparire legittima copiando il contenuto e le immagini di e-mail reali da DocuSign. L’attaccante attinge all’attuale ansia per il coronavirus riferendosi al mittente e all’oggetto del messaggio come “Documenti elettronici CU # COVID19”. Il pulsante nel messaggio dice semplicemente: “Revisiona i documenti” con le indicazioni che questi documenti sono per accordi con i membri, applicazioni sanitarie e autorizzazioni per le indennità sanitarie.

L’URL per il sito di phishing è nascosto nel testo dell’email tramite un collegamento SendGrid. Con l’URL nascosto, il destinatario del messaggio deve fare clic sul pulsante effettivo per scoprire dove si trova il collegamento. L’e-mail contiene in realtà diversi collegamenti incorporati, alcuni dei quali portano a pagine Web DocuSign autentiche per conferire maggiore legittimità.

docusign-covid-phishing-email-abnormal-security.jpg

Immagine: sicurezza anomala

Fare clic sul pulsante per rivedere i documenti reindirizza l’utente più volte, prima attraverso il link SendGrid e poi attraverso due siti Web compromessi. Questi reindirizzamenti vengono creati specificamente per confondere l’utente e superare la sicurezza del rilevamento URL. Alla fine, la pagina che viene visualizzata è dannosa e cerca di acquisire le credenziali di DocuSign e gli indirizzi e-mail aziendali. Le persone che si innamorano di questo stratagemma e forniscono le informazioni necessarie vedranno le credenziali del loro account compromesse e rubate.

“È interessante notare che la pagina di accesso falso fornisce agli utenti un menu a discesa per selezionare il proprio provider di posta elettronica al momento dell’accesso”, ha dichiarato Ken Liao, vice presidente della strategia di sicurezza informatica per la sicurezza anomala, “sottintendendo che gli aggressori sono molto più interessati a rubare tali informazioni di accesso come consente loro di compromettere ulteriormente gli account della vittima tramite Single Sign-On o accesso alla posta elettronica.

Da quando il coronavirus si è diffuso, i criminali informatici sono stati desiderosi di sfruttare la pandemia per i propri scopi. Semplicemente modificano e aggiornano le loro e-mail malevoli con eventi attuali per renderli rilevanti per le loro vittime, secondo Liao. Questa specifica campagna di phishing di DocuSign è stata notata per la prima volta all’inizio di maggio. Finora, Anormal Security ha scoperto questo attacco diretto solo a uno dei suoi clienti, in particolare un’azienda sanitaria. Ma Liao ha detto che si aspetta di vedere più attacchi di furto di credenziali usando sia DocuSign che COVID-19.

In che modo le organizzazioni e gli individui possono proteggersi da questi tipi di attacchi di phishing?

“Il consiglio numero uno che abbiamo per le imprese e i dipendenti è quello di essere sempre vigili”, ha detto Liao. “Gli attacchi stanno diventando sempre più sofisticati nei loro tentativi di rubare le credenziali degli utenti e accedere alle informazioni sensibili”.

Gli utenti dovrebbero sempre controllare questi tipi di e-mail per cercare segni che qualcosa non funziona.

“In questo caso particolare, l’attaccante nasconde i collegamenti malevoli tramite SendGrid, un servizio di email marketing che consente alle aziende e alle persone di inviare e-mail in massa”, ha detto Liao. “Non ci aspettiamo che un’azienda come DocuSign utilizzi i collegamenti SendGrid invece di collegare direttamente il proprio sito quando chiede a un utente di firmare documenti. Inoltre, controlla sempre il nome del sito Web prima di accedere. Anche in questo caso possiamo facilmente notare che la pagina di accesso a cui questo attacco ha indirizzato l’utente non è chiaramente una pagina legittima “.

Vedi anche

Pulsante PHISHING sulla tastiera del computer

Immagine: Getty Images / iStockphoto

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *