Campagna di phishing del Ministero dell’Interno britannico rivolta ai titolari di licenze di sponsorizzazione per visti
12 agosto 2025
Di Samantha Clarke, Hiwot Mendahun, Ankit Gupta e il team di ricerca sulle minacce di Mimecast
- Campagna di phishing rivolta ai titolari di licenze di sponsorizzazione nel Regno Unito, che si avvale di una falsa identità del Ministero dell’Interno
- Gli autori degli attacchi cercano di ottenere le credenziali del Sistema di gestione delle sponsorizzazioni (SMS) a scopo di lucro e per il furto di dati
- La campagna utilizza URL protetti da captcha e un'abile contraffazione di domini governativi per aggirare i controlli di sicurezza
- Progressione di un attacco in più fasi, dal furto delle credenziali alla monetizzazione degli account e allo sfruttamento dell’identità
Panoramica della campagna
Il team di ricerca sulle minacce di Mimecast ha individuato una campagna di phishing attiva rivolta alle organizzazioni del Regno Unito titolari di licenze di sponsorizzazione, che utilizza tattiche di usurpazione dell’identità del Ministero dell’Interno. Questa campagna rappresenta una grave minaccia per il sistema di immigrazione del Regno Unito, poiché gli autori degli attacchi mirano a compromettere l’accesso allo Sponsorship Management System (SMS) al fine di perpetrare un ampio sfruttamento finanziario e dei dati. Gli autori delle minacce inviano e-mail fraudolente che si spacciano per comunicazioni ufficiali del Ministero dell’Interno, solitamente indirizzate a indirizzi e-mail generici dell’organizzazione e contenenti avvisi urgenti relativi a questioni di conformità o alla sospensione degli account. Tali messaggi contengono link dannosi che reindirizzano i destinatari verso pagine di accesso false ma molto realistiche, progettate per sottrarre ID utente e password.
Metodologia di attacco
La campagna segue un approccio sistematico che ha inizio con e-mail di phishing che imitano fedelmente le notifiche ufficiali del Ministero dell’Interno. Ai destinatari vengono mostrati messaggi urgenti che segnalano nuove notifiche via SMS o avvisi di sistema che richiedono un intervento immediato. Le e-mail reindirizzano gli utenti verso pagine di accesso fraudolente che, una volta inserite, acquisiscono le credenziali di autenticazione.
L'analisi tecnica rivela l'utilizzo di URL protetti da captcha come meccanismo di filtraggio iniziale, seguito dal reindirizzamento verso pagine di phishing che riproducono fedelmente l'interfaccia autentica degli SMS. Gli autori delle minacce dimostrano una conoscenza approfondita delle modalità di comunicazione delle autorità e delle aspettative degli utenti nell’ambito del sistema di immigrazione del Regno Unito.
La pagina di phishing è una copia estremamente convincente della pagina di accesso tramite SMS ufficiale del Ministero dell’Interno britannico, ottenuta tramite la copia diretta del codice HTML, l’utilizzo di collegamenti diretti alle risorse ufficiali e modifiche minime ma fondamentali al processo di invio del modulo.
- Pagina ufficiale
<form id="smslogin" method="post" action="j_security_check">
- Pagina di phishing
<form id="smslogin" method="post" action="sms.php">
Si tratta di un grave segnale di allarme, poiché indica che le credenziali vengono inviate a uno script controllato dall'autore dell'attacco anziché al sistema di autenticazione legittimo.
Strategia di monetizzazione a fini criminali
Una volta compromesse le credenziali SMS, gli autori delle minacce possono perseguire diverse strategie di monetizzazione. Tra gli obiettivi principali figurano la vendita dell’accesso ad account compromessi sui forum del dark web, l’agevolazione dell’emissione fraudolenta di Certificati di sponsorizzazione (CoS) e la messa in atto di schemi di estorsione ai danni delle organizzazioni colpite.
La forma di sfruttamento più redditizia consiste nella creazione di false offerte di lavoro e di schemi di sponsorizzazione per il visto, con i malintenzionati che chiedono alle vittime somme comprese tra 15.000 e 20.000 sterline per opportunità di lavoro inesistenti. Questo approccio sfrutta gli account compromessi dei garanti per creare documenti relativi al visto apparentemente legittimi, a sostegno di elaborati schemi di frode in materia di immigrazione.
Protezione Mimecast
Mimecast ha implementato funzionalità di rilevamento complete per identificare e bloccare le e-mail associate a questa campagna di spoofing ai danni dell’Home Office. Continuiamo a monitorare l’evoluzione delle tattiche e delle tecniche utilizzate da questi autori di minacce per garantire che i nostri clienti rimangano protetti da questa sofisticata minaccia.
Obiettivi:
Organizzazioni del Regno Unito titolari di licenze di sponsorizzazione in tutti i settori e comparti, con particolare attenzione alle aziende che gestiscono attivamente programmi di sponsorizzazione per i visti e agli utenti abituali del sistema SMS.
Indicatori di compromissione (IOC)
Oggetti comuni:
- È stato pubblicato un nuovo messaggio nel Suo Sistema di gestione delle sponsorizzazioni
- Notifica di messaggio tramite SMS
- Nuovo messaggio nel Suo account UKVI
- Notifica di nuovo messaggio
- Comunicazione da parte dell’UKVI
- Notifica del sistema SMS
- Notifica di sistema – È richiesta un'azione
- UKVI Secure Message
- Notifica protetta dell’UKVI
- Ha un nuovo messaggio
- Ha ricevuto una notifica relativa a un nuovo account SMS
- Ha ricevuto un nuovo messaggio
- Ha ricevuto un nuovo messaggio
URL dannosi:
- hxxps://hkrd[.]site/points.homeoffice.gov.uk.gui-sms-jsf.home.SMS-003-Home.faces
- hxxps://www.slcpi[.]org/points.homeoffice.gov.uk-uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://sinsense[.]jp/gov.uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://casting-one[.]jp/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://alfonzorivas[.]com/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
Raccomandazioni
Misure di sicurezza per la posta elettronica
- Implementate funzionalità avanzate di sicurezza della posta elettronica in grado di rilevare i tentativi di usurpazione dell’identità da parte di enti governativi e i modelli di URL sospetti
- Implementare la riscrittura degli URL e il sandboxing per analizzare i link prima dell'interazione da parte dell'utente
Gestione degli accessi
- Si prega di implementare l'autenticazione a più fattori per tutti gli accessi al sistema tramite SMS, al fine di prevenire violazioni basate sulle credenziali
- Attuare politiche di rotazione periodica delle credenziali per gli utenti che hanno accesso al sistema SMS
- Monitorare l'attività dell'account SMS per individuare eventuali modelli di accesso non autorizzati o luoghi di accesso insoliti
Formazione sulla sensibilizzazione degli utenti
- Informare i titolari di licenze di sponsorizzazione in merito ai canali di comunicazione ufficiali del Ministero dell’Interno e ai domini e-mail ufficiali
- Effettuare regolarmente simulazioni di phishing volte a verificare in modo specifico la capacità di riconoscere le tattiche di usurpazione dell’identità da parte di enti governativi
- Istruite gli utenti a verificare le notifiche urgenti in materia di conformità tramite i canali ufficiali del Ministero dell’Interno prima di intraprendere qualsiasi azione
Controllo organizzativo
Stabilire procedure di verifica per tutte le comunicazioni relative al sistema di gestione della sicurezza (SMS), richiedendo una conferma secondaria tramite canali ufficiali
- Elaborare protocolli di risposta agli incidenti in caso di sospetta compromissione degli account SMS, che includano la modifica immediata delle credenziali e la notifica al Ministero dell’Interno
- Attuare la separazione delle funzioni nella gestione delle licenze degli sponsor al fine di prevenire scenari di “punto single di guasto”
Ricerca proattiva delle minacce:
- Effettate una ricerca nei registri delle e-mail per individuare i messaggi contenenti oggetti o URL corrispondenti a quelli elencati nella presente notifica.