Mailserver e archiviazione

Il phishing in Microsoft 365: come i cyber criminali attaccano i tuoi clienti

23 Luglio 2020

Con oltre 258 milioni di utenti, Microsoft 365 è diventata la piattaforma più ricca di facili bersagli per gli attacchi di phishing, ogni giorno sempre più sofisticati.

Oltre ai tradizionali metodi di hackeraggio, Microsoft 365 si presta ad una serie unica di tecniche potenzialmente sfruttabili dai cybercriminali.

Se anche i tuoi clienti usano Microsoft 365 allora è bene prestare attenzione a ciò che stiamo andando a scoprire.

Perché i phisher adorano Microsoft 365

Nel 2019 Microsoft 365 è stata la piattaforma che ha ricevuto il maggior numero di attacchi di phishing.

Essendo una piattaforma multisistema vengono combinate applicazioni di posta elettronica, archiviazione di file, condivisione e produttività, come per esempio OneDrive e SharePoint, che insieme danno vita a un insieme vastissimo di file e dati sensibili moto appetibile da sfruttare per i phisher.

In SharePoint per esempio sono contenuti milioni e milioni di dati sensibili che se non correttamente preservati espongono le aziende a danni irreparabili.

Con un unico set di credenziali legittime usate in Microsoft 365, un hacker è in grado di passare a quella che spesso è considerata la fase 2 del phishing: lo spearphishing.

Un volta dentro Microsoft 365, il malintenzionato può fingersi un collega o il CEO dell’azienda per richiedere per esempio di eseguire bonifici urgenti a finti conti correnti di fornitori o clienti.

Da qui poi sarà facilissimo ottenere altre credenziali e addirittura penetrare in altri sistemi e organizzazioni, soprattutto se l’utente “impersonato” ha rapporti frequenti con clienti e fornitori.

Perché gli utenti abboccano?

La risposta a questa domanda è semplice: l’occhio umano non è in grado di riconoscere un’interfaccia “taroccata” perché ciò che viene modificato è impercettibile.

Sto parlando di alterazioni del tipo: una tonalità di colore di immagini e loghi leggermente più scura/chiara, un punto o una lettera invertita inseriti nel dominio e altre tecniche simili.

Gli hacker sono diventati davvero esperti nella riproduzione maniacale di protocolli, interfacce, testi e tutto ciò che milioni di utenti vedono e usano nel quotidiano.

In alcuni casi, i phisher sfruttano l’archiviazione BLOB (Binary Large OBject) di Microsoft Azure come mezzo per creare landing page con certificati SSL firmati da Microsoft e un dominio windows.net.

Con le pagine che rubano credenziali costruite letteralmente sulla stessa piattaforma utilizzata dal destinatario, è facile ingannare gli utenti.

L’aspetto più pericoloso da considerare è proprio quello delle email di phishing interne. Come dicevo sopra, se un dipendente riceve una email da parte del proprio responsabile o CEO, difficilmente si chiede se sia una richiesta vera o fasulla.

Le tipologie di attacco

Come ormai avrai capito, gli attacchi di phishing sono più sofisticati, innovativi e implacabili rispetto al passato oltre che più mirati e non più di massa.

Vediamo i più frequenti:

  • messaggio vocale: l’email che arriva in questo caso riporta nell’oggetto “hai ricevuto un messaggio vocale da +39 ….” ed è personalizzata perché il mittente indica il tuo nome e solitamente il dominio dal quale proviene è microsoft.com;
  • azione richiesta: il messaggio questa volta arriva con un avviso urgente che porta l’utente a compiere un aggiornamento di credenziali o di informazioni di pagamento; 
  • file condiviso: qui la tattica è usare i nome di un contatto verosimile che condivide con te un file e ti porta a rivelare le tue credenziali perché per accedere alla piattaforma cloud “casualmente” il tuo account si è disconnesso e devi rifare il login.

E quindi? Che si fa?

Come prevenire gli attacchi di phishing su Microsoft 365

Per proteggere i tuoi clienti dagli attacchi informatici diffusi attraverso la posta elettronica le misure di sicurezza standard offerte da Microsoft 365, come Exchange Online Protection (EOP), non bastano.

Due sono le best practices necessarie da implementare:

  1. consapevolezza dell’utente: solo attraverso delle sessioni periodiche di formazione è possibile istruire i dipendenti di un’azienda a riconoscere e individuare un attacco di phishing;
  2. aggiungere un livello di protezione: sto parlando di una soluzione che si integri perfettamente con EOP e che non stia quindi “al di fuori” come i tradizionali gateway di posta elettronica.

A proposito del secondo punto, è bene che tu sappia che esiste una soluzione, Vade Secure, che grazie all’utilizzo dell’Intelligenza Artificiale e del Machine Learnings riesce ad analizzare in tempo reale comportamenti anomali per riuscire a proteggere la casella di posta elettronica anche dalle minacce non note.

Vuoi sapere come funziona? Guarda il Webinar On Demand dedicato!

Tratto dal blog di Vade Secure

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.