I crimini digitali sono in continuo aumento e i truffatori trovano sempre nuovi modi per prendere in contropiede le loro vittime. Questi criminali affinano le loro tecniche per aggirare le misure di sicurezza. Una delle ultime truffe diffuse sul web riguardano gli account Microsoft 365 e Gmail.
Il punto di partenza di questa truffa riguarda la capacità dei criminali di aggirare il sistema di autenticazione a due fattori. Per farlo viene utilizzato un particolare kit di phishing che riesce ad aggirare, anche se non lo invalida, il Multi–Factor Authentication.
Nuova truffa contro gli utenti Microsoft e Gmail
I criminali informatici sfruttando la piattaforma di phishing–as–a–service (PhaaS), denominata in rete Tycoon 2FA, riescono a comlpire gli account Microsoft 365 e quelli Gmail. Una volta inviata l’email incriminata, se gli utenti cadono nella trappola viene subito innescato l’attacco e la sicurezza dei profili social e dei propri dati personali viene compromessa.
La nuova modalità di attacco si basa sul Threat Actor che permette ai cybercriminali di copiare i portali di login di Microsoft. Con la tecnica Adversary–in–the–Middle simulano l’inserimento del codice di autenticazione a due fattori ed è questo il punto di non ritorno per la truffa.
Grazie al supporto di questo metodo gli hacker inviano delle email fittizie che reindirizzano gli utenti su un sito di phishing abilmente camuffato. Le vittime in questione, credendo di essere sulla pagina di login di Microsoft immettono le proprie credenziali e soprattutto il token 2FA.
In questo modo, gli hacker informatici riproducono la sessione dell’utente e aggirano i meccanismi di autenticazione. Cliccando sul link fraudolento, inviato dagli hacker all’interno delle loro email gli utenti accedono alla truffa mettendo a repentaglio i propri dati personali. E non solo. Ci sono casi in cui viene richiesto un pagamento, anche minimo, che permette agli hacker di accedere al denaro delle vittime.
Per proteggersi da questa truffa è importante continuare ad implementare l’autenticazione a due fattori. Inoltre, bisogna fare attenzione agli indirizzi email e agli URL dei siti che ci vengono inviati così da evitare di inserire informazioni sensibili su siti fake. L’ultimo importante consiglio è quello di restare sempre vigili e non fidarsi facilmente dei contenuti che ci vengono inviati online.