Mailserver e archiviazione

Come i cyber criminali combinano phishing e spear phishing per attaccare Microsoft 365

10 Dicembre 2020

Hai mai sentito parlare di attacchi informatici multifase?

Molto spesso gli hacker combinano il phishing con lo spear-phishing per aggredire un’azienda, quindi potenzialmente anche i tuoi clienti, per creare una vera e propria bomba a orologeria pronta a esplodere, difficile da rilevare e soprattutto prevenire.

La suite in cloud più colpita ovviamente è Microsoft 365 a causa della sua sempre più crescente popolarità tra le aziende di tutto il mondo.

Ma c’è anche un altro motivo, riconducibile al fatto che, a quanto pare, Microsoft 365 è molto vulnerabile e basta un solo account compromesso per bucare app e dati con facilità.

Cos’è un attacco multifase?

Gli attacchi di phishing tradizionale prevedono una sola mossa che, per esempio, si esplicita in una richiesta fatta via email che induce a divulgare le credenziali di accesso a un servizio attraverso una pagina ingannevole creata ad hoc, molto simile a quelle che si è abituati ad utilizzare quotidianamente per accedere a quel servizio.

In un attacco multifase si parte dallo scraping delle credenziali di un account di posta elettronica in modo da poter inviare email di phishing o spear-phishing per bucare, per esempio, l’account Microsoft 365 di un utente.

Una volta preso possesso dell’account, l’hacker impersonificherà l’utente inviando email fraudolente internamente all’azienda ai colleghi della vittima, soprattutto quelli che hanno il “potere” di eseguire bonifici, effettuare acquisti o modificare informazioni che danno accesso a dati sensibili.

Se il collega che riceve l’email clicca sul link contenuto nel messaggio, potrebbero esserci seri problemi. L’iter è sempre lo stesso: cliccare sul link, atterrare in una pagina di phishing creata ad hoc, inserire altre credenziali collegate al proprio account oppure avviare download di file apparentemente innocui ma che in realtà contengono malware o ransomware.

Il motivo per cui accade tutto questo è che il destinatario dell’email non ha motivo di sospettare che si tratti di un’email di phishing perché si fida ciecamente del mittente che la invia, ovvero, in apparenza, il proprio collega.

Inoltre, un filtro di sicurezza della posta elettronica non può rilevare l’attacco perché l’email viene inviata da un account Microsoft 365 che viene riconosciuto come legittimo dai sistemi tradizionali di difesa della posta elettronica. Anche qui il concetto è lo stesso: per il filtro antispam è l’utente Microsoft 365 a inviare le email, perché bloccarle?

Questo tipo di tecnica non è la sola con cui gli hacker fanno proliferare gli attacchi multifase. È il caso in cui il cyber criminale allunga i suoi tentacoli all’esterno dell’organizzazione, per esempio attaccando anche partner commerciali o fornitori.

Il principale driver degli attacchi multifase

Con 258 milioni di utenti attivi e un unico punto di accesso all’intera suite, Microsoft 365 rappresenta un terreno davvero fertile che favorisce l’insediamento dei criminali del web con i loro attacchi sempre più sofisticati.

Dagli archivi dei file di SharePoint, OneDrive e Teams agli account di posta elettronica, Microsoft 365 possiede una ricca raccolta di dati sensibili di aziende in tutto il mondo come nomi e indirizzi email, contratti, dati finanziari e così via.

Un singolo attacco potrebbe consentire a un hacker di impossessarsi di una quantità enorme di dati.

Ecco un altro motivo per cui è uno dei brand più colpiti dagli attacchi di phishing di sempre.

In che modo i cyber criminali eludono i filtri di protezione

Il sistema di protezione nativo di Microsoft 365, Exchange Online Protection (EOP), è molto forte finché si tratta di rilevare minacce note, quelle cioè che vengono contrassegnate e memorizzate dal sistema.

Ma nel caso in cui l’attacco viene reso diverso da ogni altro attacco esistente, EOP non basta a contrastare la sua forza.

Per rendere la minaccia invisibile alla scansione di EOP basta per esempio:

  • randomizzare i contenuti in modo da rendere ogni messaggio unico;
  • utilizzare immagini “camuffate” per aggirare i filtri di analisi del testo;
  • utilizzare link abbreviati creati per esempio su byt.ly;
  • utilizzare sub-domini;
  • abusare di meccanismi di reindirizzamento.

Come mitigare i rischi degli attacchi multifase?

 Gli attacchi di cui ti ho parlato finora hanno bisogno di un sistema di difesa strutturato su più livelli.

Se ti dicessi che esiste una soluzione in grado di integrarsi perfettamente con EOP rafforzando le sue potenzialità e che rileva anche le minacce non note che viaggiano all’interno degli account di posta di Microsoft 365?

Se non hai mai sentito parlare di Vade Secure allora è il caso che tu dia un’occhiata a questo webinar on demand per capire esattamente come puoi rendere più sicura la posta elettronica dei tuoi clienti.

Oltre a questo, fornire una costante formazione sul tema del phishing ai tuoi clienti è una best practice da utilizzare per far in modo che siano sempre aggiornati sull’evoluzione degli attacchi informatici e su come riconoscerli.

Tratto dal blog di Vade Secure

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per ricevere gli aggiornamenti di Achab