Truffa di phishing "TurkeyBombing"

Viviamo in tempi precari e senza precedenti in cui le nostre vite quotidiane sono state sconvolte a causa della pandemia globale. Grandi segmenti di persone sono stati costretti a spostare numerosi aspetti delle loro normali attività nel regno online, creando una significativa opportunità per i criminali informatici. All'inizio del 2020, i ricercatori di infosec hanno già scoperto diversi casi in cui gli autori delle minacce hanno approfittato della piattaforma Zoom Video Communications per interrompere le riunioni online in entrambi gli ambienti di lavoro, nonché le persone che si collegavano con le loro famiglie e parenti.

Una campagna molto più sinistra, tuttavia, è stata scatenata intorno al Ringraziamento e potrebbe continuare per un po '. Chiamato TurkeyBombing, ha preso di mira milioni di potenziali vittime con migliaia che sono già caduti nella tattica. L'obiettivo dei cybercriminali è ottenere le credenziali Microsoft degli ignari utenti di Zoom che potrebbero aver utilizzato la piattaforma durante il lungo weekend del Ringraziamento.

Gli hacker approfittano del Ringraziamento per condurre attacchi di phishing

L'attacco inizia con gli hacker che diffondono innumerevoli e-mail di phishing. Le e-mail fuorvianti affermano che l'utente mirato ha ricevuto un invito alla videoconferenza e contengono un collegamento che dovrebbe portare l'utente alla chiamata in conferenza. Invece, il collegamento danneggiato reindirizza a una falsa pagina di accesso Microsoft ospitata su Appspot.com. Si tratta di un dominio legittimo che gli sviluppatori di software utilizzano spesso per ospitare applicazioni Web in un data center gestito da Google.

La pagina di accesso è tutt'altro che legittima, tuttavia, poiché raccoglie tutte le credenziali inserite dalla vittima. Per diminuire ulteriormente le possibilità degli utenti di accorgersi che qualcosa non va, la falsa pagina di accesso precompila il campo chiedendo un indirizzo e-mail con l'e-mail dell'utente. Quindi richiede le credenziali di un account Microsoft associato. Oltre a raccogliere tutte queste credenziali, la pagina di destinazione registra anche l'indirizzo IP e la geolocalizzazione della vittima. Se gli hacker ricevono le credenziali di un account privilegiato Microsoft, proveranno ad accedervi tramite una verifica delle credenziali IMAP (Internet Message Access Protocol).

Finora, è stato confermato che i criminali informatici sono riusciti a ottenere oltre 3600 indirizzi e-mail univoci dalle vittime. Con milioni di persone che cercano di vedere i propri cari durante il fine settimana del Ringraziamento che hanno portato a diversi milioni di videochiamate, il numero effettivo di account compromessi potrebbe essere molto più grande.