Phishing? Non solo per credenziali e malware!

Phishing

Supponiamo d’aver subito l’invio di email di phishing: qualcuno ha deciso di cercare di rubare le nostre credenziali o di cercare di farci detonare un malware. Noi vediamo le email che abbiamo ricevuto, ma l’attaccante cosa vede?

Spesso vediamo che alcune informazioni vengono troppo spesso sottovalutate nella loro importanza: una campagna di phishing non ottiene solo le credenziali degli utenti che sono stati manipolati dal criminale. Questi ottiene anche altre informazioni, tra cui:

  • Indirizzi IP di collegamento: sembra un’informazione banale (e lo è) ma analizzando e raffrontando i dati ottenuti dalla campagna si ottiene un’indicazione delle sedi dell’azienda;
  • Header dei browsers o softwares utilizzati, relativi Sistemi Operativi e modello del dispositivo: che tecnologie sono installate sulle macchine del primo e più importante baluardo di sicurezza informatica? Dagli Headers si ottengono potenzialmente queste informazioni: versione del sistema operativo (es. android 7, 8, 11, 13, MacOS 16.1, 16.3, etc), modello del dispositivo (es. tablet), e browser utilizzato (Chrome 112.0.0.0, Safari 15.6.1, Firefox 110.0.1, etc.).

In questi giorni è stata patchata una vulnerabilità (CVE-2023-2033) – sotto exploit su larga scala – di tipo Type Confusion con severità elevata che può essere sfruttata mediante una semplice pagina HTML appositamente generata.

Sapendo che le versioni di Google Chrome affette sono quelle precedenti alla 112.0.5615.121, le informazioni ottenute da una campagna phishing devono essere valutate nell’ottica di ulteriori rischi per la sicurezza delle informazioni. Quindi, non solo credenziali e malware ma anche raccolta di informazioni fondamentali per eventuali ulteriori attacchi.