Attacchi phishing mirati ad utenti CPanel
27 Gennaio 2022
Da un paio di mesi sono state viste circolare email alcune email SPAM pericolose, indirizzate ad amministratori di siti web e/o contatti email di titolari di domini, il cui scopo è far credere che quelle email siano provenienti dallo stesso servizio Hosting su cui quei siti web e domini sono ospitati. A tal proposito infatti il linguaggio e l’aspetto dell’email Spam in questione simulano in maniera piuttosto convincente quello di un messaggio di alert automatico, come se fosse stata generata effettivamente da CPanel (il pannello di controllo del servizio Hosting che è target dell’attacco). La frode (phishing) consiste nell’indirizzare l’utente o amministratore distratto a cliccare su un link che, in realtà, non lo indirizzerà sul suo vero pannello di hosting ma su una pagina artefatta (ospitata altrove) che simulerà la pagina di login di Cpanel. Lo scopo naturalmente è quello di rubare le credenziali di accesso al proprio servizio di hosting, con tutto quel che ne può derivare.
Vediamone un esempio e cosa fare per identificarle facilmente.
Il contenuto della email di phishing che simula CPanel
L’amministratore più smaliziato potrebbe semplicemente verificare il sorgente dell’email, inclusi gli headers completi, ed individuare facilmente che l’origine dell’email è più che sospetta e non corrisponde affatto all’hostname del server da cui invece dovrebbe provenire un’email legittima del suo piano hosting. Ma, supponendo che questa operazione non sia immediatamente alla portata dell’utente meno esperto, vediamo alcuni dettagli che ci possono far comprendere l’origine fasulla di email di questo tipo:
- L’indirizzo email di provenienza potrebbe simulare il nostro dominio solo in parte.
Ad es. potresti trovare qualcosa come cpaneltuodominio.com@xxxx.yyy
L’email potrebbe realmente apparire come inviata dal server che ospita il tuo servizio di hosting CPanel – nel caso di LineaHosting, il nome server è indicato anche nell’email di attivazione del servizio che contiene la tua username e password, quindi puoi fare un veloce confronto - Da nessuna parte è specificata la username del tuo piano hosting, perchè questa non è nota a chi ti ha inviato l’email
- Il messaggio che ti avvisa dell’imminente esaurimento dello spazio su disco (ma esistono versioni simili che riguardano l’esaurimento di spazio di una casella di posta elettronica) non cita lo spazio totale a disposizione in Mb, bensì la percentuale di spazio occupato. Questo perchè l’autore dell’email non conosce quanto spazio è realmente assegnato al tuo piano hosting, quindi utilizza delle ipotetiche percentuali
- Ancora più importante: il link reale cela un indirizzo URL che non è quello che vedi scritto. Alcuni programmi di posta elettronica, quando passi con il puntatore del mouse sul link, hanno uno spazio o una sovraimpressione in basso a sinistra dello schermo che ti visualizza il target reale del link. Questo potrà assomigliare a qualcosa che includa il tuo dominio, ma non riporterà mai esattamente il link corretto al tuo pannello di controllo.
Accedi da un tuo link e non da quello presente nell’email
Se l’email ti lascia ancora dubbi sul fatto che la comunicazione possa essere autentica, la cosa migliore che puoi fare dopo le verifiche preliminari elencate poc’anzi è effettuare un login al pannello di controllo Cpanel del tuo piano Hosting, ma senza utilizzare alcun link contenuto in questa email.
Dovrai invece utilizzare l’ URL che abitualmente usi quando devi entrare nel pannello del tuo piano hosting, ovvero del tipo:
https://tuodominio.com/cpanel
Nella pagina di ingresso al pannello, dopo aver effettuato il login, troverai una colonna con tutte le statistiche di utilizzo riassuntive, in modo che tu possa verificare molto facilmente se lo spazio su disco residuo è effettivamente in via di esaurimento oppure no.
