Negli ultimi tempi, si è assistito a una crescita preoccupante delle campagne di phishing mirate a colpire i portali di gestione delle buste paga attraverso tecniche di SEO poisoning. Queste strategie malevole sfruttano i motori di ricerca come Google per posizionare in alto siti web falsi che imitano i portali aziendali, con l’obiettivo di rubare le credenziali degli utenti e deviare gli stipendi verso conti sotto il controllo dei criminali informatici.

L’attacco si sviluppa quando un dipendente cerca il portale paghe della propria azienda su Google e viene ingannato da link sponsorizzati che puntano a siti WordPress camuffati. Se la vittima accede da un dispositivo mobile, viene reindirizzata a una pagina di phishing che simula perfettamente il login Microsoft. Inserendo le proprie credenziali, queste vengono immediatamente trasmesse agli attaccanti tramite una connessione WebSocket e notifiche push, permettendo un utilizzo quasi in tempo reale delle informazioni rubate prima che possano essere modificate.

Focus sui dispositivi mobili e tecniche di elusione

Uno degli elementi più insidiosi di questa campagna è il focus sui dispositivi mobili. Questi, spesso privi di adeguate misure di sicurezza aziendale e connessi fuori dalla rete aziendale, rendono difficile l’individuazione e l’analisi delle attività fraudolente. Inoltre, il traffico dei criminali viene mascherato sfruttando router domestici compromessi e reti mobili, così da eludere i sistemi di sicurezza tradizionali e far sembrare legittima la provenienza delle richieste.

L’utilizzo di infrastrutture residenziali compromesse

Gli attacchi partono tipicamente da IP residenziali, spesso appartenenti a router domestici infettati da malware e inseriti in reti proxy botnet a disposizione di gruppi cybercriminali. Utilizzando queste infrastrutture, gli aggressori si confondono tra il traffico legittimo e diventano difficili da individuare, a differenza dei classici VPN che invece tendono a essere rapidamente bloccati.

Kit di phishing avanzati e nuovi gruppi criminali

Il panorama delle minacce si arricchisce anche di kit di phishing avanzati come W3LL, CoGUI e Darcula, spesso utilizzati per colpire credenziali Microsoft, dati di pagamento o carte di credito, con campagne che coinvolgono milioni di email e colpiscono anche utenti in Giappone e in altri paesi. In questo scenario, emergono anche gruppi organizzati di smishing cinesi che, tramite bot Telegram e reti di account compromessi, diffondono campagne massive mirate alla raccolta di dati sensibili e frodi su sistemi di pagamento digitali come Google Wallet e Apple Pay.

La combinazione di tecniche sofisticate di phishing, SEO poisoning, uso di dispositivi mobili e sfruttamento di router domestici compromessi rende questi attacchi particolarmente efficaci e difficili da contrastare, sottolineando l’importanza di una formazione continua sulla sicurezza e di soluzioni di protezione aggiornate sia per i dispositivi aziendali che personali.