Il marchio Microsoft è da sempre associato a sicurezza e affidabilità: proprio per questo rappresenta un bersaglio ideale per chi vuole manipolare la percezione degli utenti.

Un’analisi del Phishing Defense Center di Cofense ha rivelato una campagna di truffe online che sfrutta il logo Microsoft in uno schema di falso supporto tecnico.

L’attacco non punta tanto sulla sofisticazione tecnica quanto sulla capacità di sfruttare la fiducia e la paura per ottenere il controllo completo del dispositivo della vittima.

Dal rimborso che non esiste al falso blocco del sistema

Tutto inizia con un’e-mail che sembra una comunicazione commerciale legittima. Il mittente, che si presenta come “Syria Rent a Car”, informa il destinatario di un presunto rimborso e invita a confermare l’indirizzo e-mail per ricevere i fondi.

Fonte: Cofense.

In realtà, cliccando sul link contenuto nel messaggio, l’utente inizia senza saperlo un percorso di compromissione accuratamente architettato.

Il collegamento conduce, infatti, prima a una pagina che simula una verifica tramite CAPTCHA, una tecnica che serve sia a rendere la pagina credibile alla vittima sia a eludere i sistemi di analisi automatica.

Dopo tale verifica, l’utente viene invece reindirizzato a una pagina che riproduce in modo realistico un avviso di sicurezza Microsoft. Il browser appare bloccato, il cursore non risponde e sullo schermo compare un messaggio che avvisa di una infezione in corso, invitando a contattare l’assistenza tecnica Microsoft attraverso un numero di telefono visualizzato.

Fonte: Cofense.

In realtà, il blocco è solo una simulazione basata su script. “Dopo aver superato la verifica captcha, la vittima si ritrova improvvisamente sovraccarica di pop-up che sembrano avvisi di sicurezza Microsoft. Il suo browser viene manipolato in modo da apparire bloccato e perde la capacità di individuare o controllare il mouse, il che aumenta la sensazione di compromissione del sistema.”, precisa Dylan Main, Senior Manager of Threat Analysts at COFENSE, che prosegue: “Questa perdita involontaria di controllo crea una falsa esperienza ransomware, inducendo l’utente a credere che il suo computer sia bloccato e a intervenire immediatamente per porre rimedio all’infezione. Il blocco è puramente illusorio e può essere sovvertito tenendo premuto il tasto ESC”.

Nessun malware è stato ancora installato, ma l’effetto è immediato: la vittima crede di trovarsi in una situazione di emergenza e agisce d’impulso.

Lo scopo dell’attacco

La trappola raggiunge il suo scopo quando l’utente chiama il numero indicato. Dall’altra parte risponde un falso tecnico Microsoft che guida la vittima all’installazione di strumenti di accesso remoto (come AnyDesk o TeamViewer) consentendo così ai truffatori di controllare il sistema, sottrarre dati sensibili o installare software dannoso.

“Quando la vittima chiama il numero visualizzato, viene messa in contatto con un falso tecnico dell’assistenza Microsoft, a quel punto l’autore della minaccia potrebbe sfruttare ulteriormente la situazione chiedendo all’utente di fornire le credenziali dell’account o convincendolo a installare strumenti per desktop remoto, consentendogli l’accesso completo al suo sistema.”, spiega Dylan Main.

Questa tattica sfrutta in modo puntuale tre elementi tipici: l’autorità del marchio, la paura per il danno informatico e l’urgenza.

È una forma di ingegneria sociale che mira a far sì che la vittima collabori inconsapevolmente con i truffatori nel processo di compromissione.

La linea di difesa

La prima linea di difesa è senza dubbio comportamentale.

È essenziale diffidare di qualsiasi messaggio che richieda azioni urgenti, soprattutto se riguarda pagamenti o rimborsi imprevisti.

Non bisogna mai chiamare numeri telefonici visualizzati su pop-up o avvisi di sistema e, in caso di dubbi, conviene cercare autonomamente i contatti ufficiali.

Inoltre, le aziende dovrebbero potenziare la formazione dei propri dipendenti attraverso programmi di security awareness e campagne di simulazione di phishing.

Questa campagna, infatti, dimostra ancora una volta che la fiducia può essere manipolata sfruttando semplici vulnerabilità umane, condizionando la percezione e inducendo le vittime stesse a cedere volontariamente il controllo dei propri sistemi.