Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Qualcosa si muove, e non in modo tranquillo. Una nuova campagna di phishing è stata osservata mentre prendeva di mira aziende italiane del settore trasporti e logistica. Non parliamo di tentativi improvvisati: le email sembrano arrivare da partner abituali, con riferimenti a fatture o documenti di consegna che, diciamolo, chi lavora in questo ambito riceve ogni giorno.
Ed è proprio lì il punto.
Quando la posta è piena di DDT, fatture e scambi continui con fornitori, l’attenzione cala. Basta un momento veloce, una verifica fatta di fretta… e clic.
Le email utilizzate nella campagna rilevata da Paragon Sec imitano contatti noti del settore logistico o della gestione documentale.
A volte compaiono mittenti contraffatti, per esempio nomi che ricordano uffici di fatturazione o smaltimento. I link inseriti ricordano quelli di servizi di condivisione documenti, in particolare OneDrive, così l’occhio si fida quasi subito.
Chi riceve il messaggio viene invitato a scaricare o visualizzare un documento. Una fattura, magari. Oppure un file legato a una spedizione. È facile pensare “ok, lo apro e controllo”. Succede tutti i giorni.
Dopo il clic, la persona finisce su una pagina che promette di mostrare il documento.
In realtà è solo un passaggio intermedio. L’obiettivo vero è un altro: guidare la vittima verso la fase successiva senza destare sospetti.
E qui compare una schermata di verifica con il classico messaggio “Verify you are human”. Sembra una misura di sicurezza normale, quasi rassicurante… e invece serve proprio ad abbassare la guardia prima dell’ultimo passaggio.
Alla fine appare una pagina che replica il portale di autenticazione Microsoft 365. L’aspetto è molto simile a quello autentico, e questo basta spesso per convincere qualcuno a inserire le proprie credenziali aziendali.
La ricerca che ha segnalato questa attività, pubblicata dal team che ha monitorato l’attacco, descrive anche alcuni indicatori tecnici come la landing page
rivaltasped.myportfolio[.]com e i redirect su produktopinie[.]top.
Per la community di Red Hot Cyber una cosa è chiara. Quando i processi aziendali diventano veloci e ripetitivi, gli attaccanti possono insinuarsi al loro interno e sfruttare quelle vulnerabilità tipiche umane, ma quelle più basic fra tutte: la monotonia.
Fermarsi qualche secondo prima di inserire le credenziali, pensare prima di agire non è solo paranoia… è quella consapevolezza del rischio che tutti dobbiamo migliorare e coltivare.
