Appropriandosi di account reali, i cybercriminali possono condurre diversi tipi di attacchi

I cybercriminali sanno bene che tutti siamo più propensi ad aprire un’email proveniente da un collega o da un amico piuttosto che da uno sconosciuto. Gli esperti di Barracuda hanno preso in esame un paio di attacchi basati sull’appropriazione di un account reale: ecco cos’hanno scoperto.

La minaccia

I criminali si impossessano di un account utente e inviano false email ai suoi colleghi e contatti. I messaggi contengono link contraffatti, ad esempio una finta condivisione OneDrive, creata apposta per sottrarre credenziali e acquisire il controllo di altri account.

I dettagli

In uno dei casi analizzati, i criminali hanno assunto il controllo dell’account di un dipendente dell’area finanza. Il dipendente ha probabilmente cliccato su un phishing link presente nel messaggio inviato dal criminale che lo invitava a inserire le proprie credenziali in una finta pagina di autenticazione Outlook. A questo punto, i criminali hanno potuto usare tali credenziali per accedere all’account email e inviare altre mail a una decina di colleghi dello stesso dipartimento con l’obiettivo di sottrarre altre credenziali.

Il messaggio appare in sé innocuo: una breve nota per avvisare il destinatario che una certa fattura è stata pagata. Ma se i colleghi cliccano sul link, verranno portati a una pagina di autenticazione Office 365 in cui verrà loro richiesto di inserire le proprie credenziali. Se proseguono inserendo nome utente e password, i criminali prenderanno il controllo anche del loro account.

In sé, le credenziali di un’organizzazione conosciuta valgono una discreta somma nel dark web. Possono essere vendute per lanciare nuove campagne di phishing che avranno un’elevata possibilità di successo poiché provengono da un dominio con una buona reputazione.

Le credenziali rubate possono inoltre essere usate per condurre attacchi di spear phishing o frodi. In questi attacchi, gli hacker spediscono un’email dall’account compromesso con l’obiettivo di spingere il destinatario (in genere dell’area finanza) a effettuare un bonifico a un conto corrente del criminale.

Esistono diverse varianti di email finalizzate al furto di credenziali. Abbiamo ad esempio osservato tentativi in cui veniva inviata una mail di phishing contenente nel corpo del messaggio il link a una condivisione OneDrive.

Analogamente a quanto abbiamo visto nel primo esempio, anche qui il criminale ha assunto il controllo di un account email: ma questa volta con un approccio diverso nella tipologia di link. Il messaggio conteneva il link a una condivisione OneDrive che una volta cliccato portava a una finta pagina di autenticazione usata per rubare le credenziali. In questo particolare attacco, i criminali si sono collegati più volte all’account, raccogliendo nominativi dalla rubrica e inviando centinaia di email sia a colleghi sia a soggetti esterni.

Una volta rubate le credenziali di un utente, questi attacchi possono montare rapidamente. L’aspetto preoccupante è che le normali soluzioni di sicurezza dell’email non sono in grado di identificare questo genere di attacchi proprio perché provengono dall’interno dell’organizzazione.

Ricapitolando, le tecniche usate in questi attacchi sono:

  • Impersonation: i criminali fingono di essere colleghi o contatti della vittima per convincerla ad accettare le loro richieste.
  • Phishing: l’attacco viene scatenato inviando email agli utenti per impossessarsi delle loro credenziali.

Cosa possono fare dunque gli utenti per proteggersi?

  • Difesa dalle frodi e dallo spear phishing in tempo reale
  • Formazione degli utenti: gli utenti dovrebbero essere regolarmente aggiornati – e la loro preparazione misurata – al fine di migliorare il loro livello di conoscenza dei diversi tipi di attacchi mirati. Gli attacchi simulati rappresentano di gran lunga la forma migliore di formazione.