Come riporta Threat post, i ricercatori di Perception Point hanno identificato un metodo completamente nuovo per inserire link malevoli nella posta delle vittime. La tecnica sfrutta una differenza chiave tra come i browser e i client di posta elettronica leggono i domini web.
L’autore dell’attacco crea un collegamento insolito usando un simbolo “@” al centro. I filtri di sicurezza standard dei client di posta elettronica lo interpretano come un commento, ma i browser lo leggono come un dominio web legittimo.
In questo modo il messaggio di phishing supera i controlli di sicurezza ma, quando la vittima clicca sul collegamento al suo interno, viene direzionata a una falsa landing page.
Provate ad aprire una nuova pagina nel vostro browser e a inserire nella barra degli indirizzi “https://” seguito da una qualsiasi stringa di caratteri. Aggiungete quindi il simbolo @, seguito da un dominio web, come in https[://]abc123@www[.]securityinfo.it
In base al vostro browser, il testo prima del simbolo @ può dare un errore o sparire. Alcuni browser infatti permettono di inviare automaticamente informazioni di autenticazione al sito che si vuole visitare, con la sintassi http(s)://username[:]password[@]server/risorsa[.]ext
I browser che adottano questa funzione interpretano la stringa prima del simbolo @ come credenziali di login, gli altri la ignorano ed eseguono il resto. In ogni caso, l’utente viene indirizzato al dominio che segue il simbolo @.
In gennaio, Microsoft ha tolto questa funzione da Internet Explorer per la facilità con cui gli hacker possono usarla per nascondere siti malevoli all’interno di altri legittimi.
I servizi di posta elettronica, però, interpretano il simbolo @ nel mezzo come un commento e lo ignorano. Il tentativo di campagna basata su questo metodo che Perception Point ha scoperto non è andato a buon fine, ma i suoi analisti ritengono che possa diffondersi rapidamente perché è facile da implementare e può essere teoricamente molto efficace.
