Phishing attraverso inviti di calendario ICS

Posted inLa Rete Che Verrà3 min read

Premessa: non so se la cosa sia inedita o -come probabile- sia io ad essermene accorto in ritardo. Sta di fatto che da un paio di settimane una delle mia caselle di posta sacrificali [1] sta ricevendo un buon numero di email phishing caratterizzate dalla presenza in allegato di un invito in formato ICS. Scrivo in queste breve righe le mie impressioni sulla questione, più come promemoria che come analisi.

  • Il nome del mittente apparente è quasi sempre una grande catena di elettronica o un importante sito di e-commerce. Il contenuto della mail parla generalmente di un premio conseguito in seguito agli acquisti fatti o vinto in fantomatici concorsi. Non c’è spoofing dell’indirizzo email che può essere visualizzato in chiaro e molto spesso si appoggia a domini .xyz
  • La mail in se non è nulla di speciale, anche se è scritta in un italiano accettabile. Con la scusa del premio si viene portati a cliccare su un link. Dopo qualche redirect si arriva a pagine tutte simili (stesso kit HTML probabilmente) che con qualche click pro-forma portano al premio. Unico intoppo è la necessità di pagare le spese di spedizione, generalmente per un valore ridicolo (0.5 euro). Peccato solo che per completare la procedura serva inserire l’anagrafica completa ed i dati della carta di credito. Del resto che phishing sarebbe altrimenti? 🙂
  • Come dicevo però c’è anche l’inedito allegato in formato ICS che, una volta scaricato e aperto si rivela essere esattamente ciò che sembra: un invito in formato iCalendar da aggiungere al proprio calendario.
  • Se si aggiunge l’invito, sul proprio calendario compare un nuovo evento con il nome del mittente apparente, un testo descrittivo (qualcosa del tipo: Conferma i tuoi dati e ricevi il tuo dispositivo) ed un link su cui fare click per procedere. Link che viene sovente ripetuto anche in altri campi dell’invito (URL e Location ad esempio). Ovviamente aprendo il link si ricade nel caso descritto sopra.
  • Qual è dunque la funzione di questo invito? Verosimilmente è solo un espediente per aumentare la superfice di attacco che in questo modo non si limita alla sola email ma può espandersi al calendario. In questo probabilmente concorre anche la forte integrazione tra webmail e calendario online, quel meccanismo per cui la presenza di un allegato in formato ICS attiva funzioni apposite per aggiungere l’invito al calendario. Funzioni che in alcuni casi sono addirittura del tutto automatizzate.
  • Il file ICS d’altro canto è una semplice sequenza di campi rispetto ai quali non c’è alcuna verifica di coerenza. Nell’invito è cioè possibile inserire come mittente un indirizzo fasullo, cosa che sistemi come DMARC rendono ormai quasi impossibile nelle email. Se l’utente distrattamente si accorge dell’invito direttamente nel calendario potrebbe essere più facilmente tratto in inganno dalla verosimiglianza del mittente.
  • C’è poi da considerare la questione dei calendari condivisi. Se un invito del genere finisce in condivisione può propagarsi rapidamente ad un gran numero di utenti, la maggior parte dei quali estranei all’attacco iniziale via email e quindi più impreparati ad interpretare la situazione.

~

Commenti? · [1] Dicesi casella di posta sacrificale, quell’account email nato con le migliori intenzioni ma poi rapidamente degenerato in un letamaio di spam, phishing e newsletter mai lette.