In questi giorni numerosi utenti stanno segnalando la ricezione di messaggi elettronici che mettono in guardia dalle #minacceinformatiche, tramite presunti avvisi di sicurezza provenienti da #Gmail e #Microsoft. Tuttavia, come molti sospettavano, le apparenze ingannano. Gran parte di questi messaggi sono tentativi di frode, spesso abilmente mascherati. Nonostante ciò, c’è una reale minaccia alla sicurezza derivante da un nuovo fenomeno informatico che consente ai malintenzionati di aggirare le misure di protezione. Ecco cosa sta accadendo.
Gli esperti di sicurezza informatica di Apex, hanno identificato una potenziale vulnerabilità per gli account di Gmail e Microsoft 365. Si tratta di un kit di frode informatica noto come Tycoon 2FA, in circolazione dal 2019 e recentemente aggiornato per rendere il suo riconoscimento ancora più difficile. Questo nuovo metodo ha già portato a migliaia di attacchi di frode, con un guadagno di oltre 394.000 dollari in criptovalute a metà marzo 2024.
Secondo quanto riferito dagli esperti, la pericolosità di questo sistema risiede nella sua capacità di eludere le misure di sicurezza fornite dall’autenticazione a due fattori (2FA). Questa forma di protezione, secondo Andrea Rossi, consulente esperto in #sicurezzaaziendale e membro del Consiglio di Amministrazione Clusit, riduce il rischio di violazione dell’account fino al 99,9%.
Nonostante l’autenticazione a due fattori offra un certo grado di sicurezza, non è immune da manipolazioni che possono convincere gli utenti ad agire contro i propri interessi. Il successo di questa truffa, come spesso accade con il phishing, dipende principalmente dall’errore umano. La fiducia radicata nell’utilizzo di Microsoft e Gmail, insieme alla tendenza a seguire automaticamente le procedure di autenticazione, espone gli utenti a gravi rischi.
Il primo passo di questa #frodeinformatica consiste nell’invio di un’e-mail indirizzata agli account di Microsoft 365 o Gmail, che invita l’utente a cliccare su un link o un codice QR per effettuare l’accesso. Spesso, si presenta la necessità di accedere per verificare le informazioni di sicurezza, sfruttando un presunto allarme o una potenziale compromissione dell’account. Ironia della sorte, l’utente che compie questa azione nella speranza di proteggere il proprio account, in realtà concede l’accesso ai propri dati sensibili tramite i cookie di sessione. Inoltre, gli utenti spesso non si accorgono del tentativo di frode in atto, poiché vengono reindirizzati verso pagine che sono identiche a quelle ufficiali. Questa nuova forma di phishing rappresenta una seria minaccia per gli utenti del web, grazie a metodi sofisticati che rendono difficile rilevare l’attività malevola. Tecnicamente, questo è reso possibile attraverso una serie di strumenti progettati appositamente per eludere le misure di sicurezza a due fattori, tra cui: aggiornamenti JavaScript e HTML, alterazioni nell’ordine di caricamento delle risorse, blocco del traffico proveniente da bot e strumenti analitici, utilizzo di URL pseudo-casuali per rallentare il caricamento delle risorse dannose e eludere i controlli CAPTCHA e selezione mirata del traffico.
Come accennato in precedenza, è l’azione dell’utente a determinare il successo dell’attacco informatico. Affidarsi passivamente alle misure di sicurezza informatica non è sufficiente; è fondamentale controllare attentamente le proprie azioni, specialmente durante le operazioni di login. Anche se le misure di sicurezza rimangono essenziali, è fondamentale evitare di aprire link sospetti (anche attraverso codici QR) ricevuti via e-mail o SMS e accedere ai propri account solo tramite le pagine ufficiali di Microsoft e Gmail. Controllare attentamente l’URL in ogni fase del processo di autenticazione per evitare reindirizzamenti e accedere esclusivamente ai portali ufficiali da fonti attendibili. Qualsiasi attività sospetta deve essere segnalata al team per migliorare la sicurezza e ricevere istruzioni su come proteggere l’account.
