I truffatori di phishing sfruttano il web hosting Wix

Ai criminali informatici piace sovvertire servizi online legittimi come Google Docs e Dropbox per svolgere le loro attività dannose. La società di hosting di siti Web gratuita Wix è l'ultima aggiunta all'elenco dei servizi di cui hanno abusato.

I ricercatori della società di sicurezza Cyren hanno scoperto che i truffatori stavano creando siti di phishing progettati per raccogliere le credenziali di accesso di Office 365 tramite Wix, che offre un semplice editor click-and-drag per la creazione di pagine web. Come tipicamente accade con i servizi gratuiti, i criminali stanno sfruttando questi strumenti per svolgere le loro operazioni.

Il sito di phishing si presenta come una nuova finestra del browser aperta su una pagina di accesso di Office 365. In effetti, è uno screenshot di una pagina di accesso di Office 365 con campi modificabili sovrapposti all'immagine. Gli utenti penserebbero che il sito sia legittimo e immettano le credenziali di accesso, tranne per il fatto che le informazioni vengono inserite nei campi sull'overlay e non nella pagina effettiva di Office 365.

Sul desktop, la sovrapposizione va bene, ma il fatto che i campi siano separati dall'immagine è molto più ovvio sul dispositivo mobile, ha detto Cyren.

I criminali stanno anche pensando a come rimanere sotto il radar di Wix. Ad esempio, non c'è testo sulla pagina, è tutta un'immagine, e il campo della password è scritto male come "passvvord". Gli aggressori potrebbero aver preso queste decisioni partendo dal presupposto che Wix abbia un processo di scansione automatizzato che controlla il contenuto del sito per segnalare siti potenzialmente dannosi.

Gli aggressori potrebbero aver progettato le pagine per far pensare all'utente che qualcosa avesse aperto una nuova finestra del browser, ha detto il ricercatore Cyren Avi Turiel. Potrebbe anche essere un segno di pigrizia, con l'attaccante che cattura uno screenshot della pagina di accesso originale e non si preoccupa di modificare l'immagine. "Forse è una prova per vedere se funziona, quindi è stato messo meno impegno", ha detto Turiel.

Ai criminali piace ospitare malware sui servizi di cloud storage o costruire la propria infrastruttura di attacco con fornitori legittimi per aggirare le difese di sicurezza comuni. Gli utenti, anche quelli che sono stati addestrati a esaminare i collegamenti per potenziali attacchi di spam o phishing, non ci pensano due volte a fare clic sui collegamenti a domini e servizi popolari perché sono condizionati a lavorare con tali strumenti. Le organizzazioni inoltre non possono bloccare domini e fornitori di servizi ampiamente diffusi e ampiamente adottati. In alcuni casi, i prodotti per la sicurezza Web potrebbero non eseguire nemmeno la scansione degli URL perché i prodotti sono considerati affidabili.

Aiuta anche il fatto che questi servizi siano gratuiti. Gli aggressori ottengono il vantaggio di un dominio valido senza dover spendere soldi.

Cyren non sapeva come gli utenti vengono inviati alle pagine Wix. Un reindirizzamento del browser o una campagna di ingegneria sociale potrebbe indirizzare gli utenti al sito. Le pagine dannose sono state segnalate a Wix, ma gli amministratori devono smettere di pensare a determinati siti come affidabili. Anche il sito più innocuo può essere utilizzato in modo dannoso.