L'attacco di phishing abusa di Microsoft Azure, Google Sites per rubare criptovalute

Vai ai contenuti

L'attacco di phishing abusa di Microsoft Azure, Google Sites per rubare criptovalute

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
L'attacco di phishing abusa di Microsoft Azure, Google Sites per rubare criptovalute
Monete di criptovaluta che cadono

Una nuova campagna di phishing su larga scala rivolta agli utenti Coinbase, MetaMask, Kraken e Gemini sta abusando di Google Sites e dell'app Web Microsoft Azure per creare siti fraudolenti.

Queste pagine di phishing sono promosse tramite commenti pubblicati su siti legittimi da una rete di bot controllati dagli attori delle minacce. La pubblicazione di collegamenti a pagine di phishing su vari siti legittimi mira ad aumentare il traffico e il posizionamento del sito dannoso nei motori di ricerca.

Inoltre, poiché i siti di phishing sono ospitati nei servizi Microsoft e Google, non vengono segnalati da sistemi di moderatore automatizzati, consentendo ai messaggi promozionali di rimanere più a lungo nella sezione commenti.

La nuova campagna è stata individuata dagli analisti di Netskope, che hanno notato che questa tattica ha consentito ad alcuni dei siti fraudolenti di apparire come primo risultato nella Ricerca Google.

Ancora peggio, come mostrato di seguito, Google ha incluso anche le pagine di phishing come frammenti in primo piano, offrendo loro la massima esposizione possibile nei risultati di ricerca.

Google Sites è uno strumento gratuito per la creazione di pagine Web, parte della suite di servizi online di Google, che consente agli utenti di creare siti Web e ospitarli su Google Cloud o altri provider.

Allo stesso modo, Azure Web Apps di Microsoft è una piattaforma che aiuta gli utenti a creare, distribuire e gestire applicazioni Web e siti Web.

Entrambi i servizi sono considerati affidabili dagli strumenti di sicurezza Internet, offrono prezzi competitivi e alta disponibilità, quindi sono una buona opzione per la creazione di pagine di phishing.

I truffatori nella campagna vista da Netskope hanno creato siti che imitavano Metamask, Coinbase, Gemini e Kraken, prendendo di mira i portafogli delle persone e le loro risorse.

I siti sono solo pagine di destinazione e i loro visitatori vengono reindirizzati ai siti di phishing effettivi quando fanno clic sui pulsanti di "accesso".

Targeting di portafogli e servizi
La campagna di phishing sta attualmente tentando di rubare portafogli MetaMask e credenziali per scambi di criptovalute, come CoinBase, Kraken e Gemini.

Il sito di phishing MetaMask tenta di rubare la password dell'utente e la frase segreta di recupero del portafoglio (frase seme). Queste informazioni consentono all'attore della minaccia di importare il portafoglio sui propri dispositivi e di svuotarne il contenuto.

Per le pagine di phishing dello scambio di criptovalute, gli attori delle minacce tentano di rubare le loro credenziali di accesso.

In tutti e quattro i casi, gli utenti che inseriscono le proprie credenziali vengono reindirizzati a una pagina falsa 2FA (autenticazione a due fattori) che richiede alla vittima di fornire il proprio numero di telefono.

Dopo aver inserito il codice, i siti Web generano un falso errore relativo ad attività non autorizzate e problemi di autenticazione, spingendo la vittima a fare clic su un pulsante "Chiedi all'esperto".

Questo porta le vittime a una pagina di chat online in cui un truffatore che finge di essere un agente dell'assistenza clienti promette di risolvere il problema indirizzando la vittima a installare lo strumento di accesso remoto TeamViewer.

È probabile che l'accesso remoto consenta agli attori delle minacce di recuperare i codici di autenticazione a più fattori necessari per accedere agli scambi con le credenziali rubate.

Quando tenti di accedere a uno scambio di criptovalute, assicurati sempre di essere sul sito Web ufficiale della piattaforma e non su un clone.

Gli utenti di portafogli di criptovaluta installati localmente, come MetaMask, Phantom e TrustWallet, non dovrebbero mai condividere la loro frase di ripristino su nessun sito Web, indipendentemente dal motivo.

È anche importante ricordare che Google Ads può essere abusato e Google Search SEO può essere manipolato, quindi il ranking dei risultati non deve essere visto come una garanzia di sicurezza.

Infine, proteggi i tuoi conti di scambio di criptovaluta con MFA e mantieni la maggior parte dei tuoi investimenti in criptovalute su portafogli freddi che sono molto più difficili da hackerare.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti