Milano, 8 maggio 2018 – Una cosa è certa: siamo tutti più propensi ad aprire un’email proveniente da un collega o da un amico piuttosto che da uno sconosciuto. I cybercriminali lo sanno bene ed è per questo che prediligono lanciare attacchi agli amici e colleghi di un utente, usando il suo account email.
In questo Threat Spotlight, gli esperti di Barracuda hanno preso in esame un paio di attacchi basati sull’appropriazione di un account reale che sono stati analizzati da.
Ecco cosa hanno scoperto.
La minaccia
I criminali si impossessano di un account utente e inviano false email ai suoi colleghi e contatti. I messaggi contengono link contraffatti, ad esempio una finta condivisione OneDrive, creata apposta per sottrarre credenziali e acquisire il controllo di altri account.
I dettagli
i criminali hanno assunto il controllo dell’account di un dipendente dell’area finanza. Il dipendente ha probabilmente cliccato su un phishing link presente nel messaggio inviato dal criminale che lo invitava a inserire le proprie credenziali in una finta pagina di autenticazione Outlook. A questo punto, i criminali hanno potuto usare tali credenziali per accedere all’account email e inviare altre mail a una decina di colleghi dello stesso dipartimento con l’obiettivo di sottrarre altre credenziali.
Il messaggio appare in sé innocuo: una breve nota per avvisare il destinatario che una certa fattura è stata pagata. Ma se i colleghi cliccano sul link verranno portati a una pagina di autenticazione Office 365 in cui verrà loro richiesto di inserire le proprie credenziali. Se proseguono inserendo nome utente e password, i criminali prenderanno il controllo anche del loro account.
In sé, le credenziali di un’organizzazione conosciuta valgono una discreta somma nel dark web. Possono essere vendute per lanciare nuove campagne di phishing che avranno un’elevata possibilità di successo poiché provengono da un dominio con una buona reputazione.
Le credenziali rubate possono inoltre essere usate per condurre attacchi di spear phishing o frodi. In questi attacchi, gli hacker spediscono un’email dall’account compromesso con l’obiettivo di spingere il destinatario (in genere dell’area finanza) a effettuare un bonifico a un conto corrente del criminale.
Esistono diverse varianti di email finalizzate al furto di credenziali. Abbiamo ad esempio osservato tentativi in cui veniva inviata una mail di phishing contenente nel corpo del messaggio il link a una condivisione OneDrive, come in .
Analogamente a quanto abbiamo visto nel primo esempio, anche qui il criminale ha assunto il controllo di un account email: ma questa volta con un approccio diverso nella tipologia di link. Il messaggio conteneva il link a una condivisione OneDrive che una volta cliccato portava a una finta pagina di autenticazione usata per rubare le credenziali.
In questo particolare attacco, i criminali si sono collegati più volte all’account, raccogliendo nominativi dalla rubrica e inviando centinaia di email sia a colleghi sia a soggetti esterni.
Come si può notare, una volta rubate le credenziali di un utente, questi attacchi possono montare rapidamente. E l’aspetto preoccupante della questione è che le normali soluzioni di sicurezza dell’email non sono in grado di identificare questo genere di attacchi proprio perché provengono dall’interno dell’organizzazione.
Ricapitolando, le tecniche usate in questi attacchi sono:
- Impersonation: i criminali fingono di essere colleghi o contatti della vittima per convincerla ad accettare le loro richieste.
- Phishing: l’attacco viene scatenato inviando email agli utenti per impossessarsi delle loro credenziali.
Cosa possono fare dunque gli utenti per proteggersi?
Difesa dalle frodi e dallo spear phishing in tempo reale. è l’unica soluzione oggi disponibile sul mercato in grado di prevenire automaticamente il furto di credenziali. Sentinel sfrutta l’intelligenza artificiale per apprendere la storia delle comunicazioni all’interno dell’azienda e prevenire attacchi futuri. Il sistema riunisce tre potenti livelli: un motore di intelligenza artificiale che blocca gli attacchi di spear phishing in tempo reale, anche se le mail provengono dall’interno dell’organizzazione; la visibilità sulle frodi di dominio utilizzando l’autenticazione DMARC per la protezione dal brand hijacking e dal domain spoofing; la formazione basata sulla simulazione di frodi per gli individui più a rischio.
Formazione degli utenti: gli utenti dovrebbero essere regolarmente aggiornati – e la loro preparazione misurata – al fine di migliorare il loro livello di conoscenza dei diversi tipi di attacchi mirati. Gli attacchi simulati rappresentano di gran lunga la forma migliore di formazione. Una soluzione come offre una formazione SCORM compliant completa e consente inoltre di valutare la preparazione degli utenti mediante simulazioni via email, voicemail e sms, in aggiunta ad altri utili tool per formare gli utenti all’identificazione dei cyberattacchi.