I ricercatori di Cofense hanno scoperto una nuova tattica evasiva che sfrutta la tecnologia di Google per effettuare gli attacchi di phishing. I cybercriminali usato sempre più spesso il framework AMP (Accelerated Mobile Pages) per effettuare il reindirizzamento verso la pagine infette e aggirare le protezioni di sicurezza.
Google AMP nasconde il phishing
Google AMP consente di creare pagine web ottimizzate per la navigazione da browser mobile. Le pagine AMP sono ospitate sui server di Google, dove vengono “alleggerite” per ottenere un caricamento più rapido. Gli URL corrispondenti sono del tipo www.google.com/amp/s/ o www.google.co.uk/amp/s/.
I cybercriminali sfruttano Google AMP per nascondere la provenienza dei link inseriti nelle email di phishing. L’URL di Google AMP funziona in modo simile al reindirizzamento. Ad esempio, l’indirizzo www.google.com/amp/s/example.com/path porta l’ignara vittima sul sito di phishing example.com/path. Il supporto per Google Analytics permette anche di tracciare l’interazione con le pagine di phishing.
I ricercatori di Cofense hanno rilevato un notevole aumento degli attacchi che usano questa tattica a partire da metà luglio. Purtroppo è piuttosto efficace, in quanto il blocco dei domini google.com/amp/s/ ha conseguenze su tutti gli usi legittimi. Considerato il pericolo (furto delle credenziali di login), le aziende dovrebbero bloccarli a prescindere.
I cybercriminali usano anche altre tattiche per avere maggiori probabilità di successo. Invece del link Google AMP, nel corpo dell’email viene inserita un’immagine cliccabile che porta l’utente sul sito di phishing. In altri casi viene effettuato un secondo reindirizzamento usando domini Microsoft. Infine viene usato un CAPTCHA di Cloudflare per impedire la rilevazione dell’URL di phishing.
Ti potrebbe interessare
4 ago 2023