Da alcune segnalazioni pervenute al SANS Internet Storm Center è emersa una nuova tendenza relativa al phishing, la frode online che mira a sottrarre con l’inganno numeri di carte di credito, password e più in generale informazioni su account personali.
Sembra che questo tipo di truffa si stia sempre più specializzando nel cercare di “trarre in inganno” i vertici delle aziende, così da catturare informazioni ben più redditizie rispetto a quelle dei semplici cittadini.
Sarebbero stati diversi i Ceo ad aver ricevuto email personalizzate – dunque non spedite a caso ma mirate ad un obiettivo specifico, grazie ad una complessa architettura di social engineering – con richieste come comparizioni presso tribunali distrettuali o allarmi simili, a cui i dirigenti di azienda risultano sensibili.
L’autorevolezza della fonte e l’urgenza di certe richieste inducono con più facilità a far cadere il dirigente in trappola.
Le email contengono ovviamente un link tramite il quale si accede a pagine web praticamente identiche a quelle dei tribunali da cui si è indotti a scaricare un software per visualizzare dei documenti “urgenti”. A questo punto il gioco è fatto: il keylogger è installato e il malintenzionato può tranquillamente accedere alle preziose informazioni aziendali presenti sul pc del malcapitato.
A diramare l’allarme anche l’ufficio amministrativo delle Corti statunitensi. Attualmente, pare che siano stati inviate 20 mila email di questo genere, anche verso operatori della sicurezza online e che le vittime siano state circa duemila.
Basterebbe forse ricordare che, spesso, questo tipo di email sono costellate di errori lessicali e giuridici e che la prassi dei tribunali non è di comunicare via email eventuali richieste di comparizione, bensì di rivolgersi ai legali delle aziende stesse.
