Secondo un rapporto di ricerca scritto da Jeremy Fuchs, ricercatore di sicurezza informatica e analista presso Avanan (Check Point Software), Google Collection sarebbe l’ultimo vettore di attacco utilizzato dai phisher per reindirizzare gli utenti ai siti che carpiscono credenziali di criptovaluta.
L’evoluzione BEC
Questo attacco (soprannominato BEC 3.0) che indica la natura in evoluzione delle campagne Business Email Compromise (BEC) inizierebbe con la creazione di un documento Google inviato direttamente all’utente via e-mail dall’indirizzo legittimo no-reply@google.com.
Dopo aver fatto click sul collegamento incluso nell’e-mail, l’utente verrebbe reindirizzato a una pagina legittima di Google Docs, e costretto con l’inganno a visitare una falsa pagina di criptovaluta.
“La parte inferiore della pagina di Google [in figura] indica un’importante distinzione: “Questo contenuto non è né creato né approvato da Google“, spiega Fuchs, “Quello che stiamo dicendo qui è fondamentale: questo non vuol dire che Google sia ora illegittimo o pericoloso. Al contrario. Ma Google, come molti siti, ti consente di inserire qualsiasi contenuto nella loro pagina. Gli hacker stanno abusando di questo privilegio inserendo siti illegittimi e dannosi.“.
Raccomandazioni
BEC 3.0 per carpire credenziali di criptovaluta e rubare fondi non necessita l’uso di file o software dannosi ma solo la risposta e la collaborazione inconsapevole dell’utente, sfruttando un servizio legittimo e l’ingegneria sociale.
Pertanto, l’esperto consiglia come prima linea di difesa quella di utilizzare meccanismi di sicurezza basati sull’intelligenza artificiale per tracciare gli indicatori di phishing, un programma di sicurezza completo e l’implementazione di una solida protezione degli URL in modo che documenti, file e pagine Web vengano preventivamente scansionati.
Google è stata informata di questi risultati il 5 luglio 2023. La pagina falsa in oggetto è stata successivamente rimossa.