Il panorama delle minacce informatiche è in continua evoluzione e le più recenti campagne di phishing mostrano un livello di sofisticazione senza precedenti: una di queste, documentata dalla società di sicurezza informatica Guardz, si basa sull’infrastruttura di Microsoft 365 per ingannare le vittime, utilizzando tattiche evolute di ingegneria sociale.
Gli attaccanti ingannano le persone inducendole a chiamare falsi numeri di supporto operando all’interno dei servizi cloud di Microsoft 365.
Ciò rende i tentativi di phishing convincenti, aggirando facilmente anche i controlli di autenticazione e-mail come SPF, DKIM e DMARC.
Fonte: Guardz.
Indice degli argomenti
Strategia degli attaccanti
Questa campagna si distingue per la sua abilità nello sfruttare tenant legittimi di Microsoft 365. Gli aggressori prendono il controllo di tenant esistenti o ne creano di nuovi, configurandoli per emulare Microsoft o organizzazioni affidabili.
Usano, poi, questi tenant per inviare e-mail dall’aspetto credibile che eludono i sistemi di sicurezza tradizionali.
Ma ciò che rende questo attacco particolarmente astuto è l’inserimento nelle e-mail di numeri di telefono al posto di link dannosi.
Le vittime sono in tal modo invitate a chiamare questi numeri per risolvere presunti problemi legati all’acquisto/rinnovo di un abbonamento. Una volta al telefono, gli attaccanti, spacciandosi per personale di supporto tecnico, convincono le vittime a fornire credenziali sensibili o a scaricare software per assistenza remota sempre allo scopo di carpire informazioni.
Fonte: Guardz.
Perché questa tecnica di attacco è efficace
L’uso di numeri di telefono e tenant Microsoft legittimi permette agli attaccanti di bypassare i controlli di sicurezza che generalmente analizzano gli header, link o allegati nelle e-mail. Inoltre, interagendo direttamente con le vittime, i criminali sfruttano la psicologia umana, inducendo fiducia e riducendo il sospetto.
Ecco i punti cruciali del meccanismo dettagliato nel rapporto Guardz:
- Le e-mail sembrano provenire da fonti affidabili e utilizzano messaggi urgenti per spingere le vittime ad agire rapidamente.
- Chiamando i numeri indicati, le vittime parlano con operatori che sembrano essere professionisti del supporto tecnico.
- Durante la chiamata, le vittime vengono ingannate a fornire i propri dati di accesso o altre informazioni riservate.
- Gli attaccanti utilizzano le credenziali rubate per accedere agli account Microsoft 365, espandendo ulteriormente l’attacco.
Misure preventive
Questa campagna di phishing rappresenta un pericoloso passo avanti nelle tecniche di ingegneria sociale, dimostrando come gli attaccanti siano sempre alla ricerca di nuove modalità per aggirare le difese.
La consapevolezza e l’adozione di misure proattive sono essenziali per proteggere utenti e organizzazioni da queste minacce.
“In qualità di difensori, dobbiamo adattare le nostre capacità di rilevamento e risposta per affrontare queste minacce in continua evoluzione, concentrandoci non solo sui tradizionali indicatori di compromissione, ma anche sul modo in cui i sistemi legittimi possono essere manipolati per scopi dannosi”, sottolinea il ricercatore Ron Lev di Guardz.
Per difendersi da attacchi di questo tipo, si consiglia di:
- Utilizzare solo numeri ufficiali reperiti tramite i canali ufficiali dell’organizzazione.
- Implementare l’autenticazione a due fattori (2FA).
- Educare dipendenti e utenti a riconoscere tentativi di phishing perpetrati anche attraverso canali meno tradizionali come le chiamate telefoniche e tenant legittimi Microsoft.
Questo rapporto arriva dopo che i ricercatori di Proofpoint hanno individuato un metodo efficace adottato dai criminali per dirottare gli account Microsoft 365 senza rubare le credenziali. In due campagne di attacchi informatici altamente sofisticati e mirati gli attaccanti avrebbero combinato meccanismi di reindirizzamento OAuth con tecniche di brand impersonation per compromettere gli utenti di Microsoft 365, mirando al furto di credenziali e al controllo degli account.
