Un tentativo di phishing ben architettato
Nel gergo informatico con il termine phishing, si indica la tecnica con cui un malintenzionato cerca di ottenere le credenziali di accesso ad un determinato servizio fingendosi il fornitore del servizio stesso.
Mi è capitato questo bell’esempio che, penso, valga la pena di commentare:
Il 6.7.2022 ricevo, come probabilmente tanti altri, la email qui sotto:
Se Ergonet fosse un mio fornitore, sicuramente riconoscerei il logo in alto a sinistra e di conseguenza sarei portato a leggere la email con la dovuta attenzione.
Proprio sfruttando il massimo dell’attenzione, la seconda informazione che dobbiamo recepire è stata collocata proprio nelle vicinanze del logo, si tratta della data 08/06/2022.
Nella mia testa si sta costruendo un pensiero: la email che ho ricevuto oggi, da un mio fornitore, è stata scritta quasi un mese fa.
Continuo a leggere
Gentile Cliente,
La versione attuale della tua casella di posta non è aggiornata e scadrà a breve, potresti perdere l’accesso al tuo account.
Devi seguire il link per “aggiornare automaticamente” la tua casella di posta all’ultima versione “gratuitamente” il prima possibile per evitare la perdita di eventuali e-mail future:
Da notare che “Gentile Cliente” è estremamente generalizzato, perché non compare il mio nome?
Vabbè mica potevano scrivere una email diversa per ciascun cliente (anche se in effetti a volte… qualcosa si può fare)!
La prima frase mette subito in chiaro alcuni aspetti:
- che stiamo parlando della casella di posta
- che il sistema prevede una scadenza a breve
- potresti perdere l’accesso al tuo account
e un quarto lo metteremo noi stessi:
- la email risale ad un mese fa…
Da notare l’atteggiamento protettivo che traspare con la scelta delle parole “potresti perdere l’accesso al tuo account”, diversamente, uno minaccioso come potrebbe essere “se non aggiorni subito perderai tutti i tuoi dati”, non avrebbe avuto la stessa efficacia!
Oramai sono impanicato a mille, senza email non si può vivere, non posso rischiare di perdere le vecchie e o evento altrettanto nefasto, non ricevere le future.
Non vedo vie d’uscita è già passato un mese, il tempo stringe cosa posso fare?
Me lo dice la email stessa, devo pigiare il bottone e aggiornare la casella di posta.
Questa cosa è piuttosto delicata, devo fare attenzione, quindi leggo tutta le email per capire se dare fiducia o meno.
Per intanto se metto il puntatore sul bottone verifico l’url che viene visualizzato in basso:
Il bottone Aggiorna Casella di Posta
Il bottone Aggiorna Casella di Posta, porta allo stesso url indicato proprio nella frase successiva
Se hai problemi ad accedere all’URL…
E’ una frase che ho già visto altre volte, so cosa vuol dire e la mia attenzione si sposta sull’url https://webmail.ergonet.it-aggio.rnamento.online mi sembra corretto, e questo soprattutto perché riconosco lo stile simile a quello degli articoli di WordPress.
Beh il link del bottone e l’url scritto poco sotto sono identici di solito qui si sgamano i tentativi più semplici.
Vediamo dove porta il servizio clienti:
Direttamente sul sito di Ergonet!
E poi scorrendo tutta la pagina non posso non notare che
Il numero di recensioni du Trustpilot è addirittura identico a quello riportato nella email.
Poi ci sono anche le iconcine di Facebook, che non uso, e di LinkedIn che uso poco e che non scomodo per controllare questo link, mi sono limitato a verificare che i due link siano uguali a quelli che compaiono nel sito di ergonet.it
Decido di fidarmi!
Per fortuna il mio fornitore di servizi informatici ha pensato a me con un bel pulsante “Aggiorna Casella di Posta” ci clicco sopra e inizio la procedura di aggiornamento così evito di perdere sia le vecchie email che le nuove.
Abbocco e clicco sul pulsante
Mi sento a casa, riconosco la webmail di Ergonet…
Purtroppo però non sono su Ergonet ma su https://webmail.ergonet.it-aggio.rnamento.online/ e se adesso scrivessi il l’utente e la password per autenticarmi sulla webmail di ergonet.it le starei comunicando a coloro che stanno dietro al sito rnamento.online e avrei abboccato, come un pesce, al tentativo di phishing!
Per i più evoluti, abboccare ai tentativi di phishing è sempre un’occasione per comunicare qualcosa al malintenzionato che sta dietro al tentativo.
Giusto per caricargli il database di informazioni sbagliate, lo so è una magra consolazione, ma tant’è che non resisto:
Cosa succede se clicco su Accedi alla Webmail?
Semplicemente i dati nome utente e password finiranno nelle mani di un manigoldo!
Vediamo cosa succede:
Come si vede qui sopra l’accesso non è riuscito.
Panico? No, semplicemente penseremo di aver scritto male qualcosa e ridigiteremo le nostre credenziali con maggior attenzione, così il manigoldo ha aumentato le probabilità di ricevere dati corretti.
Che fortuna i dati erano corretti e l’aggiornamento è riuscito, attenzione siamo ancora su sito farlocco.
Quindi, magicamente, la fantomatica operazione di aggiornamento è andata buon fine poco dopo si verrà reindirizzati alla vera pagina di webmail di Ergonet, così potremo autenticarci e poi ci trastulleremo nella nostra webmail aggiornata, senza capire in cosa sia stata aggiornata, saremo contenti di non aver perso le nostre email, anzi romperemo le scatole a qualcuno per farcene mandare una di prova e non ci siamo resi neanche conto di aver comunicato a terzi le nostre credenziali.
Come ha fatto il malintenzionato a scoprire che il mio provider è Ergonet?
Non lo sa. La stessa email generica è stata inviata a migliaia di indirizzi di posta elettronica, indipendentemente da chi sia il nostro fornitore di ciascuno. Per questo motivo riceviamo analoghe email di verifiche del conto di BancoPosta pur non avendo mai avuto un conto alle Poste. Del nostro account di TIM pur non avendo tale fornitore di servizi.
In pratica chi fa phishing cerca di pescare qualcuno che abbocchi, tutti coloro che non hanno il provider target non abboccheranno, ma tutti gli altri potrebbero!