Non servono più competenze tecniche avanzate per costruire una campagna di phishing credibile. Lo dimostra la tecnica individuata dai ricercatori di Kaspersky, che hanno identificato un nuovo metodo di attacco basato su Bubble, piattaforma no-code che permette di creare applicazioni web e mobile tramite interfaccia visiva, senza scrivere una riga di codice. Uno strumento nato per scopi legittimi, ora riutilizzato per rendere più efficaci e difficili da rilevare le campagne di furto delle credenziali.
Il meccanismo sfrutta un punto debole strutturale dei sistemi di sicurezza tradizionali: i filtri tendono a fidarsi dei domini con buona reputazione. Le app create su Bubble vengono ospitate su infrastrutture legittime con indirizzi *.bubble.io, sufficienti a superare molti controlli automatizzati. Queste applicazioni non sono il punto di arrivo dell’attacco, ma fungono da reindirizzamenti nascosti, che portano silenziosamente la vittima verso pagine malevole progettate per sottrarre dati di accesso.
Una falsa pagina Microsoft con verifica Cloudflare
Nella campagna analizzata da Kaspersky, le vittime venivano indirizzate verso una pagina di accesso Microsoft costruita per sembrare autentica in ogni dettaglio, protetta da un ulteriore livello di verifica Cloudflare. Uno strato aggiuntivo pensato non per proteggere gli utenti, ma per rendere ancora più difficile l’analisi automatica della pagina da parte dei sistemi di sicurezza. Il risultato è un percorso di attacco che appare legittimo in ogni suo passaggio, dal link iniziale fino al modulo di inserimento delle credenziali.
Integrazione nei kit phishing-as-a-service
Kaspersky ritiene probabile che questa tecnica venga rapidamente integrata nelle piattaforme phishing-as-a-service (PhaaS) e nei kit di phishing già in circolazione. Questi strumenti offrono funzionalità pronte all’uso che includono l’intercettazione in tempo reale dei cookie di sessione, la gestione di campagne tramite servizi come Google Tasks e Google Forms, e l’esecuzione di attacchi adversary-in-the-middle (AiTM), capaci di aggirare l’autenticazione a più fattori. A questi si aggiungono la generazione di email tramite intelligenza artificiale, meccanismi di geo-filtraggio, tecniche anti-rilevamento e hosting su servizi cloud affidabili come AWS per evitare le blacklist.
Roman Dedenok, Anti-Spam Expert di Kaspersky, sottolinea come l’uso di piattaforme legittime come Bubble introduca un nuovo livello di abuso della fiducia, rendendo più difficile per utenti e sistemi automatizzati distinguere tra contenuti sicuri e dannosi, con un rischio concreto di furto di credenziali, accessi non autorizzati e violazioni dei dati.
Come proteggersi
Kaspersky indica alcune contromisure concrete. La prima riguarda la formazione del personale: i dipendenti devono sapere che le credenziali aziendali vanno inserite esclusivamente su piattaforme ufficiali e verificate. Sul piano tecnico, è consigliabile adottare soluzioni di sicurezza capaci di bloccare l’accesso a siti di phishing noti o sospetti e implementare tecnologie anti-phishing avanzate a livello di gateway di posta elettronica. Infine, mantenersi aggiornati sull’evoluzione delle tecniche degli attaccanti e integrare la threat intelligence nelle operazioni di sicurezza riduce significativamente la superficie di esposizione.
