Evoluzione del phishing: reverse tunnel e URL shortener

Evoluzione del phishing: reverse tunnel e URL shortener

Una delle tecniche più recenti utilizzate nelle campagne di phishing prevede l'invio di link attraverso i servizi di reverse tunneling e URL shortening.
Una delle tecniche più recenti utilizzate nelle campagne di phishing prevede l'invio di link attraverso i servizi di reverse tunneling e URL shortening.

Il phishing è una delle tecniche più utilizzate per distribuire malware. Le soluzioni di sicurezza sono costantemente aggiornate per rilevare e bloccare questo tipo di minaccia, quindi i cybercriminali cercano sempre il modo di aggirare le protezioni. Gli esperti di CloudSEK hanno scoperto nuove campagne di phishing che sfruttano illecitamente i servizi di reverse tunneling e URL shortening.

Nuove tecniche per il phishing

Le tradizionali tecniche di phishing prevedono la registrazione dei domini presso gli hosting provider, ma questi ultimi sono obbligati a rispettare gli ordini dei giudici e quindi possono mettere offline i siti. I ricercatori di CloudSEK hanno scoperto oltre 500 siti che sfruttano i servizi di reverse tunnel, come quelli offerti da Ngrok, LocalhostRun e Cloudflare Argo. Il funzionamento è descritto nella seguente immagine:

Phishing con reverse tunnel

Il reverse tunnel permette di esporre il server locale verso Internet attraverso una connessione sicura. Il sito di phishing (ad esempio, simile a quello di una banca) viene ospitato sul server locale gestito dai cybercriminali. Tutte le connessioni in ingresso vengono risolte dal servizio di tunneling e inoltrate al computer locale.

L’indirizzo viene inoltre mascherato tramite noti servizi di URL shortening, come Bit.ly, is.gd e Cutt.ly. Gli utenti non riescono così ad individuare il nome del dominio. I link ai siti di phishing vengono distribuiti tramite SMS, email, social media o app di messaggistica, tra cui WhatsApp e Telegram. Solitamente i link cambiano ogni 24 ore per evitare la loro rilevazione.

L’obiettivo è ovviamente rubare i dati personali degli utenti: credenziali di login agli account bancari, numeri delle carte di credito, numeri di telefono e altre informazioni sensibili che possono essere utilizzati per varie attività o venduti nel dark web. Il consiglio principale è non cliccare su nessun link. È comunque meglio installare una soluzione di sicurezza che blocca i tentativi di phishing, come Avast Premium Security.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 6 giu 2022
Link copiato negli appunti