Barracuda analizza la minaccia del mese su Threat Spotlight, consigliando cosa fare per proteggersi

internet_lock

Microsoft Office 365 è così diffuso – oltre 100 milioni di utenti attivi al mese – da essere diventato quasi parte della nostra identità, in particolare all’interno della rete aziendale con la circolazione di email interne. Quando si riceve una mail dall’indirizzo di un collega ci si fida, siamo praticamente certi che la mail sia legittima ma sfortunatamente non è sempre così.

I cybercriminali tradizionalmente allestiscono attacchi congegnati per raggiungere il più alto numero possibile di vittime. A partire dai tempi del vecchio spam all’era delle ricerche sui social media, i criminali seguono gli utenti, e Office 365 è diventato un terreno di coltura per attacchi altamente personalizzati.

Nel Threat Spotlight di questo mese, la rubrica di Barracuda prende in esame una minaccia e consiglia come proteggersi, è stata analizzata una minaccia sempre più diffusa, Office 365 Account Compromise, in cui i malintenzionati cercano di impadronirsi delle credenziali di accesso e, una volta entrati, lanciare l’attacco direttamente dall’interno della rete. Ecco quello che abbiamo scoperto:

La minaccia

Office 365 Account Compromise: il criminale cerca di rubare le credenziali dell’utente per lanciare l’attacco per mezzo di un account interno

Dettagli

Molti tentativi di phishing sono facilmente riconoscibili dall’utente finale poiché contengono richieste improbabili, errori di battitura e di sintassi, allegati discutibili che insospettiscono l’utente. Ma oggi vediamo con sempre maggiore frequenza attacchi molto più difficili da individuare: attacchi personalizzati, confezionati con cura e recapitati in modo mirato, come nell’esempio che segue.

Se esaminate lo screenshot qui potete notare che il messaggio non ha nulla di strano. Sembra provenire da Microsoft che avvisa l’utente di riattivare il proprio account Office 365.

Questo potrebbe essere un segnale, anche se non particolarmente allarmante:

  • Spiega come l’account “sia stato sospeso”, che non è un’azione normale su un account Office 365
  • Come per ogni email sospetta, l’utente dovrebbe avvisare il dipartimento IT non appena riceve un messaggio di questo tenore.

Ma cosa succede se l’utente decide di seguire le istruzioni contenute nel messaggio?

Questo particolare attacco è concepito per sottrarre le credenziali dell’account Office 365 dell’utente e impadronirsi dell’account. L’utente clicca su un link che lo porta su una landing page fasulla, ma ben disegnata, dove viene invitato a digitare le proprie credenziali. A questo punto, il gioco è fatto. Il criminale conosce le credenziali e conquista l’accesso all’account.

A questo punto possono esserci scenari diversi: quello più comune prevede che il criminale imposti il forward dei messaggi per potere osservare i modelli di comunicazione dell’utente con interlocutori sia interni sia esterni all’organizzazione. Tale conoscenza può essere sfruttata come leva per attacchi futuri, come il ransomware o altre minacce avanzate.

In un altro comune scenario, il criminale utilizza l’account compromesso per inviare messaggi ad altri utenti della stessa organizzazione, per raccogliere altri account o informazioni sensibili. Questo approccio in genere ha successo sul breve periodo poiché tipicamente la risposta o l’azione dell’utente è quasi immediata: 

  • Un metodo interessante consiste nell’utilizzare un allegato Pdf. La mail sembra provenire da un collega che inoltra un documento da rivedere (il Pdf allegato) dicendo che il documento può essere aperto digitando email e password dell’account di lavoro.
  • Un altro modo per rubare le credenziali consiste nell’inviare una fattura invitando il destinatario ad autenticarsi su un fantomatico “portale” per poter visualizzare la fattura.
  • Queste minacce interne non sono solo destinate a raccogliere credenziali. Spesso i criminali richiedono un’azione “urgente” come, ad esempio, il pagamento di una fattura o l’inoltro di informazioni sensibili quali i dati fiscali di dipendente. 

Office 365 è ancora uno strumento relativamente nuovo con una base di utenti in continua crescita e i cybercriminali ne stanno approfittando.

Riassumendo, le tecniche usate in questi attacchi tramite Office 365 sono:

  •  Spear phishing: il malintenzionato invia un’email che invita l’utente a seguire un link per reimpostare le sue credenziali Office 365.
  •  Compromissione dell’account: una volta ottenute le credenziali, il criminale è in grado di usare l’account per lanciare nuovi attacchi.
  •  Imitazione degli indirizzi email: le email sembrano provenire da colleghi.

Cosa fare:

  1. Formazione degli utenti. Gli utenti devono essere regolarmente formati e valutati per renderli consapevoli delle diverse tipologie di attacchi mirati. L’uso di attacchi simulati è di gran lunga la tecnica più efficace.
  2. Autenticazione multifattore. Una forma di autenticazione multifattore è già presente in Office 365, ma è possibile acquistare l’autenticazione multifattore Azure che offre anche altre funzionalità.
  3. Protezione in tempo reale da spear phishing e cyberfrodiBarracuda Sentinel è un servizio cloud che utilizza tecniche di intelligenza artificiale per apprendere la storia delle comunicazioni di un’azienda e prevenire futuri attacchi di spear phishing. Il sistema si compone di tre potenti livelli:
  • Un motore di intelligenza artificiale che blocca in tempo reale gli attacchi di spear phishing individuando gli individui più a rischio all’interno dell’azienda.
  • Visibilità sui “furti” di dominio usando l’autenticazione DMARC per la protezione contro i domini “travestiti” e il furto di brand. 
  • La formazione con frodi simulate per gli individui più a rischio.