Nella battaglia senza fine tra sicurezza e criminalità informatica, i cyber criminali continuano a trovare nuove tecniche per evitare di essere scoperti. Uno dei trucchi che i ricercatori di Barracuda hanno iniziato a notare sempre più spesso nelle campagne di phishing riguarda l’utilizzo dei reCaptcha per impedire ai servizi di scansione degli URL di accedere al contenuto delle pagine di phishing.
I reCaptcha sono comunemente utilizzati dalle aziende per dissuadere i robot dall’accedere ai contenuti. Poiché gli utenti finali hanno parecchia familiarità con la richiesta di risolvere un reCaptcha e dimostrare di non essere un robot, l’uso malevolo di un vero filtro reCaptcha conferisce anche maggiore credibilità al sito di phishing, aumentando le probabilità che gli utenti vengano ingannati.
La minaccia
Uso malevolo del filtro reCaptcha – Le campagne di phishing per rubare le credenziali via e-mail stanno iniziando a utilizzare i filtri reCaptcha per impedire ai sistemi di analisi URL automatizzata di accedere al contenuto effettivo delle pagine di phishing. Le barriere reCaptcha rendono il sito di phishing più credibile anche agli occhi dell’utente.
Mentre alcune campagne semplicemente falsificano la casella reCaptcha e contengono davvero delle caselle di controllo e un modulo, l’uso della vera API reCaptcha sta diventando sempre più comune. Questo approccio è senza dubbio più efficace nel dissuadere gli scanner automatici perché una falsa casella reCaptcha potrebbe essere facilmente aggirata a livello di programmazione semplicemente inviando il modulo.
Questo è probabilmente il motivo per cui i ricercatori di Barracuda stanno osservando un minor numero di box reCaptcha falsi. Nei campioni esaminati per questo rapporto, è stata rilevata una sola e-mail con un box reCaptcha falso, rispetto a più di 100.000 e-mail che utilizzano l’API reale.
I dettagli
Nelle ultime settimane, i ricercatori di Barracuda hanno osservato diverse campagne di phishing per sottrarre le credenziali e-mail che utilizzano i filtri reCaptcha tramite link nelle e-mail di phishing. Una campagna ha avuto più di 128.000 e-mail che utilizzavano questa tecnica per offuscare false pagine di accesso a Microsoft. Le e-mail di phishing utilizzate in questa campagna, come nell’esempio mostrato qui, affermano che l’utente ha ricevuto un messaggio Voicemail.
Le e-mail contengono un allegato HTML che reindirizza a una pagina con un filtro reCaptcha. La pagina non contiene nient’altro che il reCaptcha, ma questo è un formato abbastanza comune anche per i reCaptcha autentici, quindi è improbabile che generi un allarme nell’utente.
Una volta che l’utente risolve il reCaptcha in questa campagna, viene reindirizzato alla pagina di phishing effettiva, che falsa l’aspetto di una comune pagina di accesso a Microsoft. Non è chiaro se l’aspetto della pagina corrisponda al server di posta legittimo dell’utente, ma è possibile che usando una semplice somiglianza l’hacker possa trovare questo tipo di informazione per rendere la pagina di phishing ancora più convincente.
Come proteggersi
Il passo più importante per proteggersi contro i reCaptcha malevoli è educare gli utenti relativamente alla minaccia, affinché imparino a essere cauti e a non dare per scontato che la presenza di un reCaptcha significhi che la pagina è sicura. Gli utenti dovrebbero esercitarsi a controllare bene quando vedono i reCaptcha, specialmente in luoghi inaspettati dove si sono mai incontrati.
Come per qualsiasi phishing basato su e-mail, la ricerca di mittenti, URL e allegati sospetti aiuterà gli utenti a individuare questo attacco prima di arrivare al reCaptcha. Pertanto, fornire agli utenti una formazione sulla sicurezza e una solida base per riconoscere gli attacchi di phishing e per segnalarli aiuterà anche a proteggere da questo tipo di attacco.
Se questo trucco con i reCaptcha rende più difficile l’esecuzione dell’analisi automatica degli URL, l’e-mail stessa continua a essere soggetta a un attacco di phishing che può essere rilevato da soluzioni di protezione della posta elettronica. Alla fine, tuttavia, nessuna soluzione di sicurezza eliminerà del tutto i rischi; resta quindi fondamentale la capacità degli utenti di individuare e-mail e siti web sospetti.
