Utenti Dropbox truffati nel consegnare le credenziali tramite una pagina di phishing inviata tramite SSL

Table Of Contents

• Utenti Dropbox truffati nel consegnare le credenziali tramite una pagina di phishing inviata tramite SSL
• Il modus operandi
• Pagine di accesso servite su una pagina web utilizzando un protocollo sicuro

Utenti Dropbox truffati nel consegnare le credenziali tramite una pagina di phishing inviata tramite SSL

Dopo la massiccia fuga di 700.000 userid e password di Dropbox, che Dropbox nega siano state rubate dai loro server, le persone sono diffidenti riguardo alla sicurezza di Dropbox.

È successo che un nuovo stile di furto delle credenziali di Dropbox sia emerso. I criminali informatici cercano di rubare le credenziali per Dropbox e il servizio di posta elettronica basato sul web creando una falsa pagina di accesso ospitata sul sito di condivisione file, approfittando del suo protocollo sicuro. Questa truffa è stata scoperta da Symantec.

Il modus operandi

Come al solito, le potenziali vittime ricevono un’email con un oggetto che la indica come ‘Importante’ da una parte conosciuta (che è stata anche una vittima). Si dice che l’email contenga un grande file che può essere visualizzato solo su Dropbox. Una volta che la vittima clicca sul link, viene indirizzata a una pagina clone di Dropbox dove le viene chiesto di inserire le proprie credenziali di Dropbox.

Il problema con questa pagina clone di Dropbox è che è servita su un sito web sicuro contenente le parole https prima dell’url e contiene inoltre un’esatta replica del logo di Dropbox. Questo fa credere alla vittima di trovarsi sulla vera pagina di Dropbox e di consegnare le proprie credenziali ai criminali informatici. L’immagine qui sotto è della suddetta pagina e può ingannare anche l’utente più prudente.

Pagine di accesso servite su una pagina web utilizzando un protocollo sicuro

Non appena viene premuto il pulsante “accedi”, il nome utente e la password inseriti nei campi di accesso vengono inviati a uno script PHP su un server compromesso, afferma Nick Johnston di Symantec in un post sul blog.

La strategia principale dei criminali informatici di utilizzare un protocollo sicuro per ospitare il loro sito clone nefasto funziona nella maggior parte dei casi. L’invio dei dati alla macchina accessibile dai ladri avviene anche utilizzando il protocollo sicuro, il che non suscita alcun sospetto nella vittima. Altrimenti, poiché la pagina falsa è accessibile tramite una connessione crittografata, il browser web informerebbe che viene utilizzato un canale di comunicazione non sicuro per la consegna dei dati, avvisando che potrebbe essere intercettato e letto da una terza parte.

Johnston aggiunge nel suo post che non tutte le risorse della pagina di phishing sono consegnate tramite SSL. Gli elementi non sicuri sono contrassegnati nella parte superiore sinistra del browser web che mostrerà un lucchetto diverso nella barra degli indirizzi comunicando che alcune parti della pagina non sono sicure. Tuttavia, vedere il lucchetto e l’https all’inizio della pagina è sufficiente per la maggior parte degli utenti e questo li espone a un rischio maggiore.

“La falsa pagina di accesso è ospitata nel dominio dei contenuti degli utenti di Dropbox (come le foto condivise e altri file) ed è servita tramite SSL, rendendo l’attacco più pericoloso e convincente,” afferma il ricercatore.

Questo non è il primo caso di abuso del servizio di archiviazione cloud di Dropbox. Alla fine di agosto, è stata osservata una campagna di phishing via SMS (smishing) che si basava sullo stesso metodo, la differenza era che i ladri consegnavano una pagina Facebook falsa/clonata.

*Tuttavia, data la scala delle recenti fughe di dati che hanno colpito il cyberspazio la scorsa settimana, si consiglia agli utenti di prestare attenzione per evitare di cadere in tali trappole.