In aumento gli attacchi form-based che sfruttano siti di produttività e file-sharing per sottrarre le credenziali degli utenti

Siti Google: attenzione al brand impersonation

I siti Google sono sempre più spesso sfruttati per diffondere un nuovo tipo di attacco di brand impersonation, inducendo le vittime a condividere le credenziali di accesso. Questo tipo di minaccia ha rappresentato il 4% di tutti gli attacchi di spear phishing nei primi quattro mesi del 2020, con rilevamenti costanti osservati dai ricercatori Barracuda nella prima parte dell’anno. I ricercatori si aspettano ora che il numero aumenti, dal momento che i criminali informatici stanno avendo molto successo utilizzando questo tipo di attacchi per sottrarre le credenziali.

La Minaccia

Attacchi Form-based — In questo tipo di attacco di brand impersonation, i truffatori sfruttano siti di file sharing o altri siti di produttività, come docs.google.com o sway.office.com, per convincere le vittime a consegnare le proprie credenziali. L’email di phishing di solito contiene un collegamento a uno di questi siti web legittimi, il che rende difficile rilevare questo attacco altamente specializzato. Inoltre, una variante particolarmente pericolosa sottrae l’accesso all’account senza rubare le credenziali.

Dei quasi 100.000 attacchi form-based che Barracuda ha rilevato tra il 1 gennaio e il 30 aprile 2020, i siti web di file sharing e storage di Google sono stati utilizzati nel 65% dei casi. Ciò include storage.googleapis.com (25%), docs.google.com (23%), storage.cloud.google.com (13%) e drive.google.com (4).

Facendo un confronto, i siti Microsoft sono stati presi di mira nel 13% degli attacchi: onedrive.live.com (6%), sway.office.com (4%) e forms.office.com (3%). Gli altri siti utilizzati negli attacchi di impersonation includono sendgrid.net (10%), mailchimp.com (4%) e formcrafts.com (2%). Tutti gli altri siti costituivano il 6% degli attacchi form-based.

I dettagli

I criminali informatici utilizzano attacchi form-based per il furto di credenziali in parecchi modi diversi. Le tre tattiche più comuni sono:

  1. Utilizzo di siti legittimi come intermediari

    Con questa tattica, i cyber criminali tentano di contraffare e-mail che sembrano essere state generate automaticamente da un sito di file sharing come OneDrive e portano le loro vittime a un sito di phishing attraverso un sito di file sharing legittimo. Il criminale invia un’e-mail con un link che porta, ad esempio, a un file archiviato su un sito come sway.office.com. Il file contiene un’immagine con un link a un sito di phishing che richiede le credenziali per l’accesso.

  2. Creazione di form online per il phishing

    Con questo approccio, i cybercriminali creano un form online utilizzando servizi legittimi come forms.office.com. I form assomigliano a una pagina di accesso di un servizio legittimo e il link al modulo viene quindi incluso nelle e-mail di phishing per raccogliere le credenziali.

    Questi attacchi di contraffazione sono difficili da rilevare perché contengono link che indirizzano a siti web legittimi che vengono spesso utilizzati dalle aziende. Tuttavia, i servizi che richiedono la verifica dell’account o la modifica della password normalmente non utilizzano questi domini.

  3. Accesso agli account senza password

    In questo tipo di attacco particolarmente sgradevole, gli hacker possono accedere agli account delle loro vittime senza rubare le credenziali. L’email di phishing originale contiene un link a quella che sembra una normale pagina di accesso. Anche il nome del dominio nella finestra del browser sembra corrispondere a ciò che l’utente si aspetta di vedere.

    Tuttavia, il link contiene una richiesta per un token di accesso a un’app. Dopo aver inserito le credenziali di accesso, alla vittima viene presentato un elenco di autorizzazioni per l’app da accettare. Accettando queste autorizzazioni, la vittima non sta cedendo password agli aggressori, ma piuttosto concede all’app dell’hacker un token di accesso che utilizza le stesse credenziali di login che garantiscono l’accesso all’account.

    Attacchi come questi probabilmente non verranno rilevati dagli utenti per molto tempo. Dopotutto, hanno usato le loro credenziali su un sito web legittimo. Anche l’autenticazione a due fattori non servirà per tenere alla larga i criminali perché la loro app malevola è stata approvata dall’utente per accedere agli account.

    Microsoft ha già disabilitato questa app specifica, ma i ricercatori Barracuda continuano a notare che questa tattica viene ancora utilizzata.

Come proteggersi

Protezione dell’inbox basata su API: I criminali informatici stanno adattando le loro tattiche per aggirare i gateway di posta elettronica e i filtri antispam, quindi è necessaria una soluzione che utilizzi l’intelligenza artificiale per rilevare e bloccare gli attacchi, come l’acquisizione di account e la contraffazione del dominio. Meglio distribuire la tecnologia che utilizza il machine learning per analizzare i normali schemi di comunicazione all’interno dell’azienda, invece di affidarsi esclusivamente alla ricerca di link o allegati pericolosi. Ciò consente di individuare anomalie che potrebbero indicare un attacco.

Utilizzo dell’autenticazione a più fattori: L’autenticazione a più fattori, detta anche MFA, autenticazione a due fattori e verifica in due passaggi, fornisce un ulteriore livello di sicurezza oltre al nome utente e alla password, ovvero un codice di autenticazione, l’impronta digitale o la scansione della retina.

Protezione dalla sottrazione di account: E’ consigliabile utilizzare la tecnologia per identificare attività sospette e potenziali indizi di sottrazione di account, come accessi in orari o da posizioni e indirizzi IP insoliti. Occorre tenere traccia degli IP che nascondono altri comportamenti sospetti, inclusi accessi non riusciti e accesso da dispositivi sospetti.

E’ efficace anche monitorare gli account di posta elettronica per rilevare le mail pericolose in arrivo. Queste vengono spesso utilizzate per impadronirsi dell’account. I criminali accedono all’account, creano regole di inoltro e nascondono o eliminano qualsiasi e-mail che inviano dall’account, per cercare di coprire le loro tracce.

Miglioramento della formazione degli utenti sulla sicurezza: E’ fondamentale educare gli utenti sugli attacchi via e-mail, inclusi gli attacchi form-based, nell’ambito della formazione sulla sicurezza. Assicurarsi innazitutto che il personale sia in grado di riconoscere gli attacchi, comprendere la loro natura fraudolenta e sapere come segnalarli. Quindi, utilizzare phishing simulation per addestrare gli utenti a identificare gli attacchi informatici, testare l’efficacia del training e individuare gli utenti più vulnerabili.