Lookout ha recentemente scoperto un kit di phishing avanzato che utilizza tattiche innovative per colpire le piattaforme di criptovalute e la FCC (Federal Communications Commission) tramite dispositivi mobili.
Il kit di phishing
In pratica questo kit consentirebbe di creare copie delle pagine di accesso SSO che utilizzando una combinazione di e-mail, SMS e vishing consentirebbe ai criminali di riuscire ad ingannare la vittima e ottenere nomi utente, password, URL di reimpostazione della password e persino foto di documenti d’identità. Centinaia sarebbero le vittime principalmente negli Stati Uniti.
Flusso di attacco tipico
Il kit di phishing utilizza un dominio fcc-okta[.]com simile alla pagina legittima di FCC Okta Single Sign On (SSO) e chiede alla vittima di completare un captcha utilizzando hCaptcha (un’azione che impedisce agli strumenti di analisi automatizzata di rilevare il sito di phishing).
Una volta completato il captcha, la pagina di accesso che imita la legittima pagina Okta della FCC indirizza la vittima dopo aver inserito le credenziali verso una pagina di attesa. L’attaccante può inoltre monitorare la pagina di phishing tramite una console amministrativa.
“Abbiamo potuto constatare che una combinazione di telefonate e messaggi di testo veniva utilizzata per incoraggiare la vittima a completare il processo.“, spiegano gli esperti David Richardson e Savio Lau. “In uno scenario, una vittima ha ricevuto una telefonata non richiesta che ha falsificato la linea di assistenza clienti di una vera azienda[…]. Hanno informato la vittima che il suo account era stato violato, ma che l’avrebbero aiutata a recuperarlo. Mentre la vittima era al telefono con l’autore della minaccia, le è stato inviato un messaggio di testo che la collegava alla pagina di phishing.”
Il kit sarebbe in grado di impersonare diversi marchi aziendali. I ricercatori avrebbero anche trovato pagine di imitazione Okta rivolte a utenti di criptovalute e servizi SSO con Coinbase il servizio preso maggiormente di mira.
L’evoluzione delle tattiche di phishing
Sebbene questo attacco segua tecniche simili a quelle adottate dal gruppo Scattered Spider, (in particolare la registrazione di domini utilizzando il nome dell’azienda -okta.com) i ricercatori non possono dare una attribuzione certa e dire se si tratti di un singolo attore della minaccia o di uno strumento comune utilizzato da gruppi diversi.
Vale la pena notare che appena una settimana fa SentinelOne ha parlato di un’altro kit di phishing (script Python sender sns) che abusa del servizio SNS (Simple Notification Service) di AWS (Amazon Web Services) per inviare massivamente messaggi di testo fraudolenti.
Questi attacchi dimostrano ancora una volta l’evoluzione delle tattiche di phishing e la necessità di vigilare costantemente per proteggere informazioni personali e risorse aziendali.