Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Allarme Phishing Payroll: Attacco invisibile via Google e router domestici, stipendi a rischio per chi usa il mobile
Negli ultimi tempi, si è assistito a una crescita preoccupante delle campagne di phishing mirate a colpire i portali di gestione delle buste paga attraverso tecniche di SEO poisoning. Queste strategie malevole sfruttano i motori di ricerca come Google per posizionare in alto siti web falsi che imitano i portali aziendali, con l’obiettivo di rubare le credenziali degli utenti e deviare gli stipendi verso conti sotto il controllo dei criminali informatici.
L’attacco si sviluppa quando un dipendente cerca il portale paghe della propria azienda su Google e viene ingannato da link sponsorizzati che puntano a siti WordPress camuffati. Se la vittima accede da un dispositivo mobile, viene reindirizzata a una pagina di phishing che simula perfettamente il login Microsoft. Inserendo le proprie credenziali, queste vengono immediatamente trasmesse agli attaccanti tramite una connessione WebSocket e notifiche push, permettendo un utilizzo quasi in tempo reale delle informazioni rubate prima che possano essere modificate.
Focus sui dispositivi mobili e tecniche di elusione
Uno degli elementi più insidiosi di questa campagna è il focus sui dispositivi mobili. Questi, spesso privi di adeguate misure di sicurezza aziendale e connessi fuori dalla rete aziendale, rendono difficile l’individuazione e l’analisi delle attività fraudolente. Inoltre, il traffico dei criminali viene mascherato sfruttando router domestici compromessi e reti mobili, così da eludere i sistemi di sicurezza tradizionali e far sembrare legittima la provenienza delle richieste.
L’utilizzo di infrastrutture residenziali compromesse
Gli attacchi partono tipicamente da IP residenziali, spesso appartenenti a router domestici infettati da malware e inseriti in reti proxy botnet a disposizione di gruppi cybercriminali. Utilizzando queste infrastrutture, gli aggressori si confondono tra il traffico legittimo e diventano difficili da individuare, a differenza dei classici VPN che invece tendono a essere rapidamente bloccati.
Kit di phishing avanzati e nuovi gruppi criminali
Il panorama delle minacce si arricchisce anche di kit di phishing avanzati come W3LL, CoGUI e Darcula, spesso utilizzati per colpire credenziali Microsoft, dati di pagamento o carte di credito, con campagne che coinvolgono milioni di email e colpiscono anche utenti in Giappone e in altri paesi. In questo scenario, emergono anche gruppi organizzati di smishing cinesi che, tramite bot Telegram e reti di account compromessi, diffondono campagne massive mirate alla raccolta di dati sensibili e frodi su sistemi di pagamento digitali come Google Wallet e Apple Pay.
La combinazione di tecniche sofisticate di phishing, SEO poisoning, uso di dispositivi mobili e sfruttamento di router domestici compromessi rende questi attacchi particolarmente efficaci e difficili da contrastare, sottolineando l’importanza di una formazione continua sulla sicurezza e di soluzioni di protezione aggiornate sia per i dispositivi aziendali che personali.