Un’area problematica della sicurezza in ambienti cloud è il cosiddetto “shadow IT” e cioè l’uso di app cloud non approvate o gestite dall’IT aziendale che rappresentano un rischio particolarmente elevato.

Sfruttare il cloud per eliminare i silos aziendali

Oggigiorno quasi tutte le aziende al mondo sono clienti in un modo o nell’altro di un cloud computing provider e i cyber criminali, sempre alla ricerca di nuove opportunità, hanno sviluppato metodologie di attacco specifiche per questo tipo di applicazioni.

Un’area problematica della sicurezza in ambienti cloud è il cosiddetto “shadow IT” e cioè l’uso di app cloud non approvate o gestite dall’IT aziendale che rappresentano un rischio particolarmente elevato. Di recente I nostri ricercatori hanno analizzato i dati di oltre 1.000 cloud service customer con più di 20 milioni di account utente e trovato oltre 15 milioni di tentativi di login non autorizzati (o attacchi), di cui più di 400.000 andati a buon fine!.

Metodologie di attacco

Lo studio ha inoltre identificato le tre metodologie di attacco più di moda presso i cybercriminali: brute force attack, phishing all’interno dell’azienda, e applicazioni di terze parti che accedono a dati di Office 365 e G Suite. I malintenzionati si avvalgono di attacchi brute force in modo mirato e intelligente. L’abuso del protocollo Internet Message Access Protocol (IMAP) – che in realtà è un protocollo di autenticazione me che può essere utilizzato per bypassare l’MFA (Multi Factor Authentication) – è particolarmente diffuso.

Gli attacchi appaiono come login non andati a buon fine che sembrano non avere nulla a che fare l’uno con l’altro, in questo modo non saltano all’occhio e impediscono il blocco dell’account. Un dato solo: circa il 25% dei clienti Office 365 e G Suite sono state vittime di attività di password spraying IMAP-based, campagne molto efficaci e mirate agli utenti più di valore come gli executive e i loro amministrativi.

Spesso i cybercriminali non si limitano a usare i dati di login trafugati per accedere agli account colpiti, soprattutto quando il target non dispone delle autorizzazioni necessarie per trasferire danaro o condividere dati preziosi. In questi casi, i malintenzionati usano le credenziali per ampliare il loro accesso all’interno dell’organizzazione e infiltrare le applicazioni cloud di altri utenti.

I nostri ricercatori hanno riscontrato che oltre il 31% dei clienti ha avuto a che fare con campagne di phishing di successo. In questa tipologia di attacco, i cybercriminali usano account cloud violati per inviare email di phishing all’interno dell’azienda: questi messaggi appaiono affidabili agli occhi dei colleghi e i malintenzionati cambiano le regole di inoltro dell’email o si configurano come mandatori per mantenere l’accesso all’account. A volte usano anche gli attacchi ‘man-in-the-middle’ da un account violato, oltre a utilizzarli per inviare phishing e-mail a organizzazioni terze, contaminando così anche il loro ambiente cloud.

A cura di Luca Maiocchi, Country Manager di Proofpoint