Allarme EvilProxy: negli ultimi mesi impennata di attacchi phishing

Da marzo e giugno, i ricercatori impegnati nell’ambito della sicurezza informatica hanno notato un aumento nei casi di campagne phishing collegate a EvilProxy. Si parla di numeri considerevoli, ovvero più di 120.000 e-mail infette inviate.

La posta elettronica in questione, per essere resa verosimile, sfrutta il marchio di alcuni servizi e aziende considerate affidabili dagli utenti. Si parla di DocuSign, Concur Solutions CRM e vari prodotti Adobe. Il tutto, come da prassi per gli attacchi phishing, per spingere le vittime su siti fasulli e sottrarre agli stessi informazioni preziose.

In questa situazione EvilProxy si rende molto utile per i cybercriminali. Questo reverse proxy, infatti, nasconde il sito Web di destinazione rendendo l’attacco ancora più efficace. Le campagne, inoltre, includono una serie di tecniche di offuscamento, come la codifica di parti del messaggio.

Phishing ed EvilProxy: 120.000 email inviate negli scorsi mesi

Nonostante ciò, gli aggressori in molti casi hanno commesso degli errori grossolani che hanno reso facile l’individuazione delle campagne. Per esempio, un semplice errore di battitura (“hhttps” invece di “https“) ha reso facile individuare le loro azioni e anche la loro potenziale provenienza, ovvero la Turchia.

Secondo un rapporto di Proofpoint Inc. su questi casi “Anche l’MFA [autenticazione a più fattori ndr.] non è una pallottola d’argento contro minacce sofisticate e potrebbe essere aggirata da varie forme di attacchi combinati email-to-cloud“. Nello stesso documento, poi, viene affermato come “È noto che gli aggressori studiano la cultura, la gerarchia e i processi delle loro organizzazioni bersaglio, per preparare i loro attacchi e migliorare le percentuali di successo“.

Una soluzione, in tal senso, può essere l’adozione di chiavi di sicurezza basate su hardware, azione già intrapresa da Discord con tutti i suoi dipendenti. Al di là delle singole precauzioni, mantenere un atteggiamento sempre e comunque prudente risulta essenziale per contrastare attacchi phishing (e non solo).