Nel panorama delle minacce informatiche, gli attacchi di phishing rappresentano una delle tecniche più insidiose e dannose. Recentemente, è stato scoperto un nuovo attacco di phishing che sfrutta una vulnerabilità open redirect nel dominio di Nespresso.
Il flusso dell’attacco
L’attacco inizia con un’e-mail che, a prima vista, sembra essere una richiesta di autenticazione multifattore da parte di Microsoft con il chiaro obiettivo di indurre il destinatario a verificare le proprie attività di accesso. Tuttavia il mittente dell’e-mail non è affiliato a Microsoft e il messaggio sembra essere stato inoltrato due volte con l’intento di fornire una spiegazione del motivo per cui l’e-mail non proviene da Microsoft.
Cliccando sul link fornito, l’utente viene prima reindirizzato all’URL compromesso di Nespresso, e successivamente a un file “001122.html”.
Questo passaggio sfrutta la vulnerabilità open redirect nel dominio Nespresso per eludere le misure di sicurezza ed arrivare alla pagina di landing finale.
La pagina di verifica falsa
Il file .html che funge da pagina di verifica fittizia per stabilire un senso di legittimità, successivamente reindirizza a un URL finale verso una pagina di login Microsoft contraffatta per raccogliere le credenziali del malcapitato, presumibilmente allo scopo di alimentare ulteriori campagne ingannevoli.
Considerazioni
Perché un attacco del genere abbia successo, l’attaccante deve prima preparare il terreno. In questo caso, la preparazione coinvolge il takeover dell’account (per superare i controlli SPF con delle e-mail di phishing provenienti da caselle di posta legittime ma violate) e l’identificazione di una vulnerabilità open redirect (trovata in questo caso sul sito di Nespresso e poi utilizzata per reindirizzare la vittima verso una falsa pagina di accesso Microsoft). La combinazione di questi due fattori ha permesso all’attaccante di ottimizzare la campagna per ottenere il massimo successo.
Tutto ciò evidenzia l’importanza di una vigilanza costante e di pratiche di sicurezza robuste da impiegare sia per gli utenti che per le organizzazioni. È fondamentale essere consapevoli delle tecniche di phishing e adottare misure preventive per proteggere le proprie informazioni sensibili da attacchi simili.
Per ulteriori dettagli su questo attacco di phishing e su come proteggersi, si può fare riferimento al report di Perception Point.