Truffa di phishing del Ministero degli Interni mirata al sistema di sponsorizzazione dei visti del Regno Unito

Le false e-mail del Ministero dell'Interno prendono di mira il Visa Sponsorship System del Regno Unito, rubando dati di accesso per rilasciare visti fraudolenti e mettere in atto costose truffe in materia di immigrazione.

I truffatori hanno preso di mira aziende ignare con e-mail che sembravano provenire direttamente dal Ministero degli Interni, complete di urgenti avvisi di conformità e minacce di sospensione dell'account.

Secondo la società di sicurezza informatica Mimecast, quei messaggi erano tutt'altro che autentici. Tuttavia, in realtà, facevano parte di una sofisticata campagna di phishing rivolta alle organizzazioni britanniche titolari di licenze di sponsorizzazione, un tentativo diretto di rubare i dati di accesso al sistema di gestione delle sponsorizzazioni ( SMS ) del governo.

L'SMS è il portale sicuro utilizzato dagli sponsor approvati per gestire le domande di visto, quindi lasciare queste credenziali nelle mani sbagliate apre le porte a gravi abusi. I ricercatori di Mimecast hanno scoperto che gli aggressori inviano email a caselle di posta aziendali generiche, avvisando di presunti problemi di conformità.

Secondo la ricerca di Mimecast, compilata da Samantha Clarke, Hiwot Mendahun, Ankit Gupta e Mimecast Threat Research Team e condivisa con Hackread.com, i link contenuti in queste e-mail portano a copie convincenti della pagina ufficiale di accesso SMS, completa di marchio governativo e persino di porte CAPTCHA per aggirare i controlli di sicurezza di base.

Una volta che la vittima inserisce i propri dati, le credenziali non vengono inviate al governo. Vengono invece inviate a uno script controllato dall'aggressore. Da lì, gli account compromessi vengono utilizzati per emettere certificati di sponsorizzazione fraudolenti.

In alcuni casi, si tratta di truffe elaborate che creano false offerte di lavoro, addebitando ai richiedenti tra le 15.000 e le 20.000 sterline per sponsorizzazioni di visti inesistenti. I documenti falsificati sembrano abbastanza autentici da superare i controlli preliminari, rendendo la frode più difficile da individuare finché non è troppo tardi.

L'analisi tecnica delle pagine di phishing mostra che sono pressoché identiche al vero portale SMS, fino al codice HTML e alle immagini collegate. L'unica differenza sostanziale è una piccola modifica nell'azione del modulo di accesso, che punta al server dell'aggressore anziché al processo di autenticazione legittimo. Si tratta di una modifica sottile che ha enormi conseguenze per le vittime.

Gli esperti legali hanno avvertito che le conseguenze potrebbero essere gravi. Natasha Chell , Partner e Responsabile del Rischio e della Conformità presso Laura Devine Immigration, ha affermato che alcuni sponsor hanno già subito violazioni dei loro sistemi. Ha consigliato alle organizzazioni di proteggere i propri account presso l'Home Office attraverso solide pratiche IT, una formazione regolare per il personale chiave e verificando eventuali richieste sospette direttamente con l'Home Office prima di agire.

"Siamo a conoscenza di sponsor che sono stati presi di mira da queste truffe di phishing e di alcuni sfortunati i cui sistemi sono stati violati. In qualità di custodi del sistema di sponsorizzazione, gli sponsor devono proteggere i propri account online presso il Ministero dell'Interno adottando solide pratiche IT, una formazione regolare per il personale chiave che ha accesso agli account e dovrebbero sempre contattare i canali ufficiali del Ministero dell'Interno per verificare eventuali richieste sospette."

Natasha Chell – Laura Devine Immigrazione

Mimecast afferma di aver già aggiunto regole di rilevamento per bloccare queste email di phishing per i propri clienti, ma la campagna continua a evolversi. Tra gli indicatori di compromissione figurano righe dell'oggetto come "Nuovo messaggio nel tuo account UKVI" o "Notifica di sistema - Azione richiesta" e URL che imitano gli indirizzi ufficiali del Ministero dell'Interno con lievi modifiche.

Il consiglio per i titolari di licenza sponsor è di utilizzare l'autenticazione a più fattori per l'accesso tramite SMS, modificare regolarmente le credenziali, monitorare l'attività dell'account per individuare accessi insoliti e formare il personale per individuare messaggi sospetti.

Inoltre, la verifica dovrebbe sempre avvenire tramite canali ufficiali, mai tramite un link in un'e-mail indesiderata. In questo caso, un po' di cautela può impedire agli aggressori di utilizzare la vostra organizzazione come trampolino di lancio per frodi sull'immigrazione su larga scala.