Il phishing continua a essere una minaccia online altamente pericolosa, poiché gli attori delle minacce sono persistenti nel migliorare i loro metodi. Uno degli ultimi successi phishing campagne è stato recentemente rilevato da Akamai Security Research. Il team "ha osservato un nuovo e altamente sofisticato kit di phishing" che imita una serie di famosi marchi di vendita al dettaglio prima delle festività natalizie.
Gli alti tassi di successo del kit di phishing sono dovuti a una combinazione di tecniche di evasione e trucchi di ingegneria sociale. Uno degli aspetti degni di nota del kit è un sistema basato su token che conferma che ogni vittima viene reindirizzata a un URL di phishing univoco. In aggiunta, l'autore della minaccia utilizza accorciatori di URL, falsi profili utente e testimonianze, e persino un CDN per ottenere la resilienza dell'infrastruttura.
Falsi clienti e testimonianze degli utenti
I ricercatori hanno eseguito un'analisi dettagliata dei falsi profili dei clienti. Un particolare utente falso, Natalie Hamilton, è stato riciclato con lievi modifiche nei vari modelli di truffa. Anche i commenti sulla recensione del premio sono stati personalizzati, a prima vista legittimo. Ciò che ha rivelato la truffa è la forte somiglianza dei commenti tra le offerte di premi, che passerebbe comunque inosservato a un utente online medio.
Frammentazione dell'URI
La frammentazione dell'URI è un'altra caratteristica interessante del kit, e una nuova tecnica di evasione. Cos'è tutto questo?
“L'identificatore del frammento di URL è un cancelletto (#), noto anche come ancoraggio HTML, nel collegamento URI che indirizza un browser a un punto specifico in una pagina o in un sito web. Questa è una tecnica comunemente utilizzata nei sommari o in altri elenchi di categorizzazione per una migliore esperienza utente. I valori che seguono l'ancora HTML non saranno considerati come parametri HTTP e non verranno inviati al server, tuttavia questo valore sarà accessibile dal codice JavaScript in esecuzione sul browser della vittima. Nel contesto di una truffa di phishing, il valore inserito dopo l'ancora HTML potrebbe essere ignorato o trascurato durante la scansione da parte di prodotti di sicurezza che verificano se è dannoso o meno. Questo valore verrà perso anche se visualizzato da uno strumento di ispezione del traffico,”Hanno spiegato i ricercatori.
Qual è la conclusione dei ricercatori? Questo kit di phishing dimostra perché le truffe di phishing continuano ad avere tanto successo. Gli attori delle minacce conoscono bene la mitigazione, ingegneria sociale, e varie tattiche che rendono quasi impossibile il rilevamento. "Questo post sul blog non è una frecciatina all'efficacia di alcun prodotto di sicurezza o fornitore, ma mostra invece come anche più livelli di difesa possono essere erosi per raggiungere uno scopo dannoso," Il gruppo concluso.
Un altro esempio di kit di phishing-as-a-service di successo è stato rilevato a settembre. Chiamato EvilProxy, la piattaforma è specializzata in campagne di phishing reverse proxy volte a eludere l'AMF [autenticazione a più fattori] Meccanismi.