L'attacco di phishing utilizza gli URI BLOB per mostrare pagine di accesso false nel browser

Cofense Intelligence svela una nuova tecnica di phishing che sfrutta gli URI blob per creare false pagine di accesso locali, aggirando la sicurezza della posta elettronica e rubando le credenziali.

I ricercatori di sicurezza informatica di Cofense Intelligence hanno segnalato un nuovo metodo sempre più efficace utilizzato dai criminali informatici per recapitare pagine di phishing contenenti credenziali direttamente nelle caselle di posta elettronica degli utenti. Questa tecnica, emersa a metà del 2022, sfrutta i "blob URI" (binary large object - Uniform Resource Identifier).

Per tua informazione, gli URI Blob sono indirizzi che puntano a dati temporanei salvati dal tuo browser internet sul tuo computer. Hanno applicazioni legittime su internet, come il modo in cui YouTube memorizza temporaneamente i dati video nel browser di un utente per la riproduzione.

Una caratteristica fondamentale degli URI blob è la loro natura localizzata; ovvero, un URI blob creato da un browser non è accessibile da nessun altro, nemmeno sullo stesso dispositivo. Questa intrinseca caratteristica di privacy, sebbene utile per le funzioni web legittime, è stata sfruttata dagli autori delle minacce per scopi dannosi.

Secondo l'analisi di Cofense Intelligence, condivisa con Hackread.com, poiché i dati URI dei Blob non si trovano sulla normale rete Internet, i sistemi di sicurezza che controllano le e-mail non riescono a individuare facilmente le pagine di accesso false e dannose.

Pertanto, quando si riceve un'email di phishing, il link non porta direttamente a un sito web falso. Spesso, invece, si viene indirizzati a un sito web reale, considerato attendibile dai programmi di sicurezza, come OneDrive di Microsoft. Da lì, si viene indirizzati a una pagina web nascosta, controllata dall'aggressore.

Questa pagina nascosta utilizza quindi un URI blob per creare la pagina di accesso falsa direttamente nel tuo browser. Anche se questa pagina viene salvata solo sul tuo computer, può comunque rubare il tuo nome utente e password e inviarli agli hacker.

Ciò rappresenta una sfida per i sistemi di sicurezza automatizzati, in particolare i Secure Email Gateway (SEG), che analizzano il contenuto dei siti web per identificare i tentativi di phishing, hanno osservato i ricercatori. La novità degli attacchi di phishing che utilizzano URI blob significa che i modelli di sicurezza basati sull'intelligenza artificiale potrebbero non essere ancora adeguatamente addestrati a distinguere tra usi legittimi e dannosi.

Questa mancanza di riconoscimento di schemi, unita alla comune tattica degli aggressori di utilizzare più reindirizzamenti, complica il rilevamento automatico e aumenta la probabilità che le e-mail di phishing riescano a bypassare la sicurezza.

Cofense Intelligence ha osservato diverse campagne di phishing che utilizzano questa tecnica basata su URI blob, con esche progettate per indurre gli utenti ad accedere a versioni false di servizi noti come OneDrive. Queste esche includono notifiche di messaggi crittografati, richieste di accesso ai conti fiscali di Intuit e avvisi da parte di istituti finanziari. Nonostante i pretesti iniziali eterogenei, il flusso generale degli attacchi rimane coerente.

I ricercatori avvertono che questo tipo di phishing potrebbe diventare più comune perché è efficace nel superare i sistemi di sicurezza. Pertanto, è importante fare attenzione ai link nelle email, anche se sembrano indirizzare a siti web reali, e controllare sempre attentamente prima di digitare le proprie credenziali di accesso. Vedere " blob:http:// " o " blob:https:// " nell'indirizzo del sito web può essere un segno di questo nuovo trucco.