I ricercatori di Perception Point hanno scoperto una nuova forma di phishing che sfrutta la differenza tra il modo in cui i browser e le caselle di posta in arrivo leggono i domini web.
L’attaccante ha creato un collegamento insolito sfruttando l’inserimento del simbolo “@” nel mezzo. I tradizionali filtri di sicurezza della posta elettronica lo interpretano come un commento, mentre i browser lo interpretano come un dominio web legittimo. Pertanto, le e-mail di phishing aggirano con successo la sicurezza e quando l’utente fa click sul collegamento presente in esse viene indirizzato a una pagina di destinazione falsa.
Il team di risposta agli incidenti (IR) di Perception Point, lo scorso 2 maggio, ha analizzato e segnalato un’e-mail di phishing progettata in modo anche poco curato che tentava di spacciarsi per un avviso di sicurezza Microsoft. L’oggetto indicava al destinatario di avere 5 nuovi messaggi in attesa e di seguire un collegamento ipertestuale che però era diretto a un sito Web mascherato da pagina di accesso di Outlook. Anche in questo caso, le scelte di progettazione dell’hacker erano scarse e il nome di dominio per questa presunta pagina di Outlook era, in effetti, “storageapi.fleek.co”, seguito da una lunga serie di caratteri casuali.
In teoria, se un utente avesse ignorato questi segnali e avesse inviato le proprie credenziali Microsoft, queste sarebbero finite in mano dell’attaccante. Tuttavia, ciò che desta attenzione, è come abbia fatto questa mail di phishing a superare i normali filtri di sicurezza della posta elettronica, che sono creati per individuare frodi molto più sofisticate di questa.
La risposta, secondo i ricercatori, sta nell’inserimento della chiocciola nel bel mezzo del collegamento e-mail.
A seconda del browser che si utilizza, il testo prima di @ restituisce un messaggio di errore o scompare senza lasciare traccia in quanto alcuni browser consentono di inviare automaticamente informazioni di autenticazione al sito Web che si vuole visitare.
La sintassi è http(s)://nomeutente[:]password[@]server/risorsa[.]est. I browser che supportano questa funzione interpreteranno la stringa prima del segno @ come credenziali di accesso. I browser che non lo fanno ignoreranno semplicemente la stringa ed eseguiranno tutto ciò che segue @. Ad ogni modo, il dominio che segue @ è dove andrai.
Il trucco dell’hacker è quindi come i browser leggeranno @ come un URL e invece i servizi di posta elettronica leggono il simbolo @ al centro in modo molto diverso.
A gennaio, Microsoft ha provveduto a rimuovere questa funzionalità da Internet Explorer a causa della facilità con cui gli hacker possono utilizzarla per mascherare i siti Web dannosi come legittimi.
Come spiega Motti Elloul, vicepresidente della divisione “customer success and incident response” di Perception Point, la maggior parte delle piattaforme di rilevamento della posta elettronica non è in grado di riconoscere questo indirizzo come un URL e invece lo vede come un commento, non riuscendo quindi ad identificare un eventuale link dannoso.
L’attore malevole – sconosciuto ma per un indirizzo IP 202[.]172.25[.]42, proveniente dal Giappone – ha inseguito un’ampia gamma di obiettivi, tra cui telecomunicazioni, servizi web e organizzazioni finanziarie ma nessuna delle loro e-mail è riuscita a ingannare alcun obiettivo prima che venissero scoperti.
Nonostante il fallimento di questa particolare campagna, Elloul ha comunicato a Threatpost che “la tecnica ha il potenziale per prendere piede rapidamente, perché è molto facile da eseguire”. “Per identificare la tecnica ed evitare che le sue ricadute scivolino oltre i sistemi di sicurezza, i team di sicurezza devono aggiornare i loro motori di rilevamento per ricontrollare la struttura dell’URL ogni volta che @ è incluso”.
https://perception-point.io/novel-phishing-trick-uses-weird-links-to-bypass-spam-filters/
