Un falso messaggio vocale come esca per acquisire le credenziali. È quanto emerge dallo studio di Jeremy Fuchs, analista di Check Point. Gli hacker provano di tutto per indurre le persone a cliccare su un link malevolo, ed il segreto è far sembrare una determinata e-mail il più credibile possibile.
Più sembra autentica e credibile, meglio è. La corsa per indurre le vittime a cliccare sui link è ricca di esempi creativi, ed una tattica sempre più diffusa è quella di utilizzare la segreteria telefonica e i messaggi vocali come esca per indurre gli utenti in trappola.
Molti sistemi telefonici aziendali sono infatti collegati alla posta elettronica: i messaggi vocali lasciati al telefono possono essere ascoltati via e-mail.
In questo tipo di attacco, gli hacker inviano dei Qr Code con routing condizionale in base al dispositivo. L'e-mail inizia con un oggetto che contiene un numero di telefono, che solo se cercato su Google si scopre non essere legittimo. Se si prosegue, l'e-mail sembra provenire da un servizio di elaborazione dei pagamenti. Nell'e-mail c'è solo quello che sembra un file Mp3 incorporato di segreteria telefonica e cliccando sul link, si viene reindirizzati a una pagina web, che è in realtà una pagina di raccolta delle credenziali.
Ad eccezione delle minacce zero-click, che stanno diventando sempre più rilevanti, gli hacker hanno bisogno di un’azione diretta dell'utente per portare a termine un attacco phishing, che deve riprodurre, cliccare o inserire determinate informazioni per far progredire l'attacco.
Questo offre anche l'opportunità al criminale informatico di provare nuove opzioni creative per indurre la vittima a prendere parte attiva alla minaccia. Un messaggio vocale può essere efficace per alcuni utenti, mentre altri potrebbero non accorgersene ma, impersonando un marchio noto e aggiungendo un messaggio vocale che incuriosisce i più, i cybercriminali hanno creato un interessante modo per ottenere le credenziali dagli utenti finali.
Per difendersi da questi attacchi, Check Point suggerisce di:
- implementare misure di sicurezza che utilizzino l'intelligenza artificiale per esaminare i molteplici indicatori di phishing;
- implementare una sicurezza che controlli ed emuli tutti gli url;
- implementare una sicurezza con più livelli di protezione.