Security Notes

Google Docs e Google Drive possono essere utilizzati in campagne di phishing?

google-drive

Il è oggi una delle minacce più subdole e insidiose: ogni anno aziende private, organizzazioni governative ed internauti patiscono ingenti danni legati a questa attività illecita. Il è una minaccia nota agli esperti da tempo, di essa sono informati anche i principali utilizzatori di Internet, ma in troppi ignorano che essa si è evoluta nel tempo, i criminali informatici infatti utilizzano oggi differenti canali di diffusione (social networks e piattaforme mobili) e tecniche sempre più affinate. , infatti, non è solo la classica e-mail che, a carattere di urgenza, vi invita a fornire le vostre credenziali attraverso una pagina che riproduce più o meno fedelmente quella legittima della vostra banca, i phishers stanno adottando metodiche sempre più complesse e difficili da individuare anche per i più esperti.

Oggi voglio parlarvi di una tecnica di che negli ultimi mesi si è rapidamente diffusa: l’utilizzo di e per condurre compagne di phishing.

Innanzitutto cosa sono questi due prodotti? Per chi non l’avesse utilizzati, il primo è il sistema di condivisione documenti online fornito da Google, è gratuito e offre agli utenti la possibilità di editare e condividere documenti World, file Excel e molto altro. Google Drive invece è un network storage utilizzato dagli utenti Google per conservare i propri documento on line in modo da poterli sempre avere a disposizione ovunque si trovino.

Va detto che entrambi i prodotti si stanno rapidamente diffondendo, praticamente ogni telefono Android fornisce pre-installato un account Google Drive, è questo rende appetibili le piattaforme per i criminali che se in possesso delle vostre credenziali Google possono accedere ai vostri documenti, leggere le vostre mail, effettuare acquisti per conto vostro sul Play Store.

Vediamo come funziona l’attacco, all’utente giunge una mail con soggetto “documenti”, o comunque qualche tema di interesse generale che possa suscitare la sua curiosità, nel cui contenuto è presente un link che punta ad una pagina di phishing archiviata su Google Drive.

L’utente ignaro, ispezionando il link, noterà che esso lo rimanda ad una pagina Google, quindi affidabile per definizione nell’immaginario comune, ma in realtà sta aprendo un documento ospitato su una cartella privata archiviata sui server Google, nulla più. La pagina che l’utente apre ha un aspetto familiare, è una copia della schermata di login di Google, come potrete constatare nell’immagine seguente.

Google1

Nel caso specifico i criminali hanno commesso un piccolo errore, il box per la selezione della lingua presenta caratteri corrotti per un errore in fase di copia, ma vi assicuro che la cosa non ha alterato l’efficacia dello schema.

Gli esperti di Symantec hanno verificato che le credenziali rubate con questo schema sono inviate ai criminali mediante uno script PHP che è già stato osservato nelle scorse settimane, circostanza che suggerisce che gli autori della campagna di phishing sono i medesimi oppure che sono in qualche modo ad esso riconducibili.

[http://]backpackingworldwide.com/[REMOVED]/performact.php

In questo caso, la campagna di phishing ha come unico intento quello di rubare le credenziali delle vittime, ma con estrema semplicità I criminali potrebbero adattare lo schema alla distribuzione di malware, sostituendo alla pagina di login di Google un file HTML di pochi byte che indirizza l’ignaro utente attraverso verso un sito web compromesso.

In un’altra variante osservata nelle scorse settimane agli utenti Google è inviata una mail che li avvisa del raggiungimento della quota limite per la casella di posta, gli utenti sono invitati a cliccare su un link nella mail per evitare la sospensione dell’account. Anche in questo caso l’obiettivo dei criminali è rubare le vostre credenziali.

Google2

I phisher in questo caso hanno adottato un’altra tecnica per mascherare l’attacco agli utenti: gli attaccanti hanno sfruttano il modo in cui Google Chrome visualizza le stringhe URI (uniform resource identifiers) utilizzate per identificare univocamente una risorsa generica che può essere un indirizzo Web, un documento, un’immagine, un file, un servizio, un indirizzo di posta elettronica, ecc.

Nella barra degli indirizzi di Google Crome l’utente vedrà sono il testo “data”: non sospettando che in realtà la pagina che sta visualizzando è una risorsa esterna utilizzata dei criminali. L’utilizzo degli URI presenta anche il vantaggio di non essere di semplice rilevamento dai sistemi di difesa canonici.

Per i più tecnici, il contenuto della pagina utilizzata per emulare la schermata di login di Google è passato secondo la codifica Base64 che la rende non riconoscibile anche ad una ispezione visiva ed in ogni caso Chrome non ne consente la visualizzazione per esteso proprio per il modo in cui gestisce le URI, come verificabile della schermata seguente. Notate qualcosa di strano o che possa allarmarvi? Direi proprio di no!

 Google3

Le tecniche esposte stanno ingannando decine di migliaia di utenti, conoscerle è fondamentale per evitare di esserne vittime, lasciate che vi suggerisca in ogni caso di abilitare il doppio fattore di autenticazione per il vostro servizio di posta: oltre alla password è bene fornire ulteriore prova della propria identità, tipicamente inserendo un codice inviato sul numero di cellulare oppure generato mediante un OTP (One Time Password) device come quello in uso per gli accessi all’home banking.

Questo perchè i metodi descritti in precedenza consentono di rubare credenziali  di accesso ma non di disporre del codice per l’autenticazione a doppio fattore così, anche in caso di furto, per l’attaccante sarà più complesso agire per conto vostro.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

1 Commento

Commenti e reazioni su:

Loading Facebook Comments ...

1 Commento

  1. Pingback: Google Docs e Google Drive possono essere utilizzati in campagne di phishing? | Geek News

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This