Cybersecurity: come proteggersi dai tentativi di appropriazione di account email

Una cosa è certa: siamo tutti più propensi ad aprire un’email proveniente da un collega o da un amico piuttosto che da uno sconosciuto. I cybercriminali lo sanno bene ed è per questo che prediligono lanciare attacchi agli amici e colleghi di un utente, usando il suo account email.

In questo Threat Spotlight, gli esperti di Barracuda hanno preso in esame un paio di attacchi basati sull’appropriazione di un account reale che sono stati analizzati da Barracuda Sentinel.

Ecco cosa hanno scoperto.

La minaccia

I criminali si impossessano di un account utente e inviano false email ai suoi colleghi e contatti. I messaggi contengono link contraffatti, ad esempio una finta condivisione OneDrive, creata apposta per sottrarre credenziali e acquisire il controllo di altri account.

I dettagli

In questo esempio i criminali hanno assunto il controllo dell’account di un dipendente dell’area finanza. Il dipendente ha probabilmente cliccato su un phishing link presente nel messaggio inviato dal criminale che lo invitava a inserire le proprie credenziali in una finta pagina di autenticazione Outlook. A questo punto, i criminali hanno potuto usare tali credenziali per accedere all’account email e inviare altre mail a una decina di colleghi dello stesso dipartimento con l’obiettivo di sottrarre altre credenziali.

Il messaggio appare in sé innocuo: una breve nota per avvisare il destinatario che una certa fattura è stata pagata. Ma se i colleghi cliccano sul link verranno portati a una pagina di autenticazione Office 365 in cui verrà loro richiesto di inserire le proprie credenziali. Se proseguono inserendo nome utente e password, i criminali prenderanno il controllo anche del loro account.

In sé, le credenziali di un’organizzazione conosciuta valgono una discreta somma nel dark web. Possono essere vendute per lanciare nuove campagne di phishing che avranno un’elevata possibilità di successo poiché provengono da un dominio con una buona reputazione.

Le credenziali rubate possono inoltre essere usate per condurre attacchi di spear phishing o frodi. In questi attacchi, gli hacker spediscono un’email dall’account compromesso con l’obiettivo di spingere il destinatario (in genere dell’area finanza) a effettuare un bonifico a un conto corrente del criminale.

Esistono diverse varianti di email finalizzate al furto di credenziali. Abbiamo ad esempio osservato tentativi in cui veniva inviata una mail di phishing contenente nel corpo del messaggio il link a una condivisione OneDrive, come in questo esempio.

Analogamente a quanto abbiamo visto nel primo esempio, anche qui il criminale ha assunto il controllo di un account email: ma questa volta con un approccio diverso nella tipologia di link. Il messaggio conteneva il link a una condivisione OneDrive che una volta cliccato portava a una finta pagina di autenticazione usata per rubare le credenziali.

In questo particolare attacco, i criminali si sono collegati più volte all’account, raccogliendo nominativi dalla rubrica e inviando centinaia di email sia a colleghi sia a soggetti esterni.

Come si può notare, una volta rubate le credenziali di un utente, questi attacchi possono montare rapidamente. E l’aspetto preoccupante della questione è che le normali soluzioni di sicurezza dell’email non sono in grado di identificare questo genere di attacchi proprio perché provengono dall’interno dell’organizzazione.

Ricapitolando, le tecniche usate in questi attacchi sono:

  • Impersonation: i criminali fingono di essere colleghi o contatti della vittima per convincerla ad accettare le loro richieste.
  • Phishing: l’attacco viene scatenato inviando email agli utenti per impossessarsi delle loro credenziali.

 

Copia & Incolla: perché questo titolo? Perché i contenuti di questa categoria sono stati pubblicati SENZA ALCUN INTERVENTO DELLA REDAZIONE. Sono comunicati stampa che abbiamo ritenuto in qualche modo interessanti, ma che NON SONO PASSATI PER ALCUNA ATTIVITÀ REDAZIONALE e per la pubblicazione dei quali Tech Economy NON RICEVE ALCUN COMPENSO. Qualche giornale li avrebbe pubblicati tra gli articoli senza dire nulla, ma noi riteniamo che non sia corretto, perché fare informazione è un’altra cosa, e li copiamo ed incolliamo (appunto) qui per voi.

 

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here