8 aprile 2019

Doctor Web mette in guardia: hacker utilizzano i moduli di iscrizione alle newsletter di note aziende internazionali per distribuire link di siti di phishing. Messaggi inviati dagli indirizzi email ufficiali di aziende ispirano fiducia negli utenti e superano i filtri antispam di servizi di posta, il che permette agli hacker di aumentare il numero di potenziali vittime.

Alle caselle di posta di utenti russi hanno iniziato ad arrivare messaggi di phishing da note aziende internazionali, come ad esempio Audi, Austrian Airlines ed S-Bahn Berlin. I messaggi vengono inviati dagli indirizzi email ufficiali, e a prima vista, non destano sospetto. L'intestazione e la mail stessa sono scritte in inglese o tedesco, ma nelle formule di apertura si segnalano le parole "VAM DENGI" ("Soldi per Lei") in russo.

Sono seguite da un link ipertestuale, cliccando il quale l'utente passa a una pagina di un sito di incontri. Quindi, il codice malevolo incorporato nella pagina di errore del sito, attraverso una catena di redirect, reindirizza l'utente su una risorsa di phishing.

Lì si vede un messaggio che informa che l'indirizzo email dell'utente avrà vinto l'opportunità di partecipazione a una promozione internazionale chiamata "Lucky Email". In seguito viene offerto di partecipare a un sondaggio e ottenere una ricompensa da 10 a 3000 EUR. Per infondere maggiore credibilità, i malintenzionati hanno aggiunto al sito commenti di persone che avranno già ottenuto denaro, tra cui anche di quelli che non saranno soddisfatti della bassa somma della vincita.

Dopo alcune domande fatte vengono visualizzate informazioni sulla promozione, la somma della vincita e le condizioni di ritiro del denaro. Una delle condizioni sarà la necessità di pagare una tassa sul cambio di euro di rubli.

Per questo scopo l'utente viene reindirizzato su una pagina su cui gli viene chiesto di inserire i dati della carta bancaria. Dopo l'inserimento dei dati all'utente viene chiesto di indicare anche il codice di verifica arrivato via SMS. Quando tutte queste azioni sono state completate, il relativo addebito viene effettuato sul conto dell'utente, mentre i dettagli della carta bancaria cadono nelle mani dei proprietari del sito fraudolento. La vittima non riceve naturalmente alcuna vincita.

Ciò che è interessante è il modo in cui gli hacker inviano le mail di phishing. Per fare ciò, utilizzano i moduli ufficiali di iscrizione alle newsletter di aziende. A causa del fatto che nei campi di input testuali di questi moduli possono essere inseriti caratteri diversi, gli hacker hanno la possibilità di inviare mail con link malevoli intestate di grandi aziende. Per questo scopo, nel campo "Nome" viene indicato "VAM DENGI" ("Soldi per Lei"), e al posto del cognome viene inserito un link di un sito di phishing. Di conseguenza, la vittima riceve un messaggio di conferma iscrizione dall'indirizzo email ufficiale dell'azienda.

Gli specialisti Doctor Web raccomandano agli utenti di prestare cautela quando si aprono link in qualsiasi email e di evitare di indicare i propri dati personali su risorse non fidate.