I ricercatori di cybersecurity hanno recentemente individuato una serie di campagne di phishing che sfruttano le intestazioni HTTP per rubare credenziali su larga scala. Queste campagne utilizzano voci di aggiornamento nelle intestazioni HTTP per consegnare pagine di login email contraffatte, progettate per raccogliere le credenziali degli utenti. Questo metodo sfrutta le intestazioni di risposta inviate da un server, che vengono elaborate prima del contenuto HTML, per indurre il browser a ricaricare automaticamente una pagina web senza interazione dell'utente.

Tra maggio e luglio 2024, queste attività hanno preso di mira grandi aziende in Corea del Sud, agenzie governative e scuole negli Stati Uniti. Sono stati associati alla campagna circa 2.000 URL malevoli, con il 36% degli attacchi diretti al settore economico-commerciale, seguito dai servizi finanziari (12,9%), governo (6,9%), sanità e medicina (5,7%) e computer e internet (5,4%). Gli attacchi utilizzano domini di primo livello di tendenza e nomi di dominio per diffondere phishing e attacchi di reindirizzamento. La catena di infezione inizia con un'email contenente un link che imita un dominio legittimo o compromesso, reindirizzando l'utente a una pagina di raccolta credenziali controllata dall'attore malevolo.

Per rendere l'attacco più credibile, le pagine di login contraffatte pre-compilano gli indirizzi email delle vittime. Gli attaccanti utilizzano anche domini legittimi che offrono servizi di abbreviazione URL, tracciamento e marketing delle campagne. Queste tattiche mostrano come i criminali informatici riescano a mascherare le loro vere intenzioni e aumentare le probabilità di successo del furto di credenziali. Il phishing e il business email compromise (BEC) rimangono canali privilegiati per chi cerca di rubare informazioni e realizzare attacchi finanziariamente motivati. Secondo il Federal Bureau of Investigation (FBI), tra ottobre 2013 e dicembre 2023, le organizzazioni statunitensi e internazionali hanno perso circa 55,49 miliardi di dollari a causa di attacchi BEC.

Questi sviluppi si inseriscono in un contesto più ampio di campagne fraudolente che utilizzano video deepfake di figure pubbliche per promuovere schemi di investimento fasulli. Le campagne sono diffuse tramite post e annunci sui social media, indirizzando gli utenti a pagine web fittizie che richiedono un pagamento iniziale di 250 dollari. Alla fine, gli utenti scoprono di non poter ritirare i propri fondi, rimanendo vittime di truffe elaborate. Parallelamente, è stato individuato un attore minaccioso che propone servizi di risoluzione CAPTCHA automatizzati a scala, aiutando altri cybercriminali a infiltrarsi nei network IT. Conosciuto come Greasy Opal, questo attore opera dal 2009 offrendo servizi per stuffing delle credenziali, creazione di account falsi e spam sui social media. Greasy Opal utilizza tecnologia OCR avanzata per risolvere CAPTCHA complessi, guadagnando circa 1,7 milioni di dollari solo nel 2023.