{"id":27895,"date":"2020-01-17T12:52:29","date_gmt":"2020-01-17T11:52:29","guid":{"rendered":"https:\/\/smartfense.com\/non-categorizzato\/la-perspectiva-del-ciberdelincuente-lanzar-un-ataque-bec-con-herramientas-gratuitas\/"},"modified":"2024-08-30T16:05:57","modified_gmt":"2024-08-30T14:05:57","slug":"dalla-prospettiva-del-cybercriminale-lanciare-un-attacco-bec-con-strumenti-gratuiti","status":"publish","type":"post","link":"https:\/\/smartfense.com\/it\/blog\/dalla-prospettiva-del-cybercriminale-lanciare-un-attacco-bec-con-strumenti-gratuiti\/","title":{"rendered":"Dalla prospettiva del cybercriminale: lanciare un attacco BEC con strumenti gratuiti"},"content":{"rendered":"

Un buon giorno per un attacco BEC<\/h2>\n

Oggi, come ogni giorno, era un buon giorno per lanciare un attacco di phishing. Poteva essere massiccio, ma per motivi economici ho optato per un attacco di tipo BEC rivolto all\u2019azienda NonSicura s.rl.<\/em><\/p>\n

Raccolta di potenziali vittime<\/h3>\n

La prima cosa che dovevo fare per portare a termine il mio attacco era ottenere l\u2019indirizzo e-mail dell\u2019amministratore delegato dell\u2019azienda, per impersonarlo<\/strong>. Inoltre, dovevo ottenere l\u2019indirizzo e-mail delle mie potenziali vittime.<\/p>\n

Per questo, di solito \u00e8 sufficiente fare un po\u2019 di OSINT<\/strong>. Ho utilizzato lo strumento The Harvester<\/a>, che fornisce un elenco delle e-mail pubblicate su Internet<\/strong> di una certa azienda, analizzando varie fonti aperte come Google, Twitter o LinkedIn.<\/p>\n

Tutte le e-mail trovate avevano la forma standardizzata<\/strong> di nome.cognome@nonsicura.it<\/em>.<\/p>\n

Tenendo conto di ci\u00f2, mi sono collegato a LinkedIn<\/strong> e in pochi minuti ho trovato il nome e il cognome dell\u2019amministratore delegato e di alcune persone che si occupano di finanza nell\u2019organizzazione.<\/p>\n

Con queste informazioni ho potuto costruire le e-mail necessarie per la mia trappola in modo molto semplice.<\/p>\n

Preparazione dell\u2019esca<\/h3>\n

Con la posta degli amministratori delegati \u00e8 facile escogitare vari imbrogli, dato il loro livello gerarchico. Inoltre, le e-mail sono facili da progettare<\/strong>, poich\u00e9 di solito sono sufficienti semplici e-mail di testo.<\/p>\n

In questo caso, ho utilizzato il seguente messaggio e ho scelto come destinatario una delle due persone che si occupano di finanza che ho trovato su LinkedIn.<\/p>\n

\"\"<\/p>\n

In questo caso, l\u2019e-mail si basava sul far sentire importante il destinatario<\/strong> con una serie di complimenti, facendo leva sulla sua professionalit\u00e0 affinch\u00e9 rispondesse con priorit\u00e0 alla richiesta fatta. Con una scusa legale, \u00e8 stato richiesto che la comunicazione avvenisse solo via e-mail per evitare che comunicazioni con mezzi alternativi potessero far luce sull\u2019inganno<\/strong>.<\/p>\n

Andiamo a pescare!<\/h3>\n

Quando si tratta di inviare un\u2019e-mail di phishing, ci sono diversi percorsi da seguire. Nel mio caso, poich\u00e9 volevo impersonare l\u2019amministratore delegato dell\u2019organizzazione, la prima cosa che ho fatto \u00e8 stata quella di utilizzare lo strumento Spoof check<\/a> <\/strong>per vedere se il dominio nonsicura.it<\/em> poteva essere impersonato, ma ho scoperto che era protetto da SPF, DMARC e DKIM.<\/p>\n

In questo caso, c\u2019erano due alternative:<\/p>\n