È stata soprannominata lateral phishing la nuova tecnica di attacco di tipo account takeover che i criminal hacker sfruttano per compromettere la sicurezza degli account di posta elettronica aziendale.
Secondo uno studio condotto dai ricercatori di Barracuda che, in collaborazione con l’Università di Berkeley e di San Diego, hanno scoperto questa nuova minaccia, negli ultimi sette mesi un’organizzazione su sette ha subito un attacco di tipo lateral phishing. Tra queste, oltre il 60% ha subito la compromissione di molteplici account.
In alcuni casi, gli account compromessi sono stati decine e sono stati utilizzati dai criminal hacker per condurre altri attacchi di tipo lateral phishing verso account di colleghi e di utenti di altre aziende.
Per comprendere appieno la gravità di questa nuova minaccia, basti pensare che i ricercatori hanno finora identificato “soltanto” 154 account compromessi che hanno però inviato centinaia di e-mail di lateral phishing a oltre 100.000 destinatari unici. È facile immaginare quanto possa essere devastante un attacco del genere condotto su larga scala.
Indice degli argomenti
Account takeover: vecchia minaccia sempre in auge
Gli attacchi di tipo account takeover, lo ricordiamo, rappresentano una seria minaccia per la sicurezza aziendale e negli ultimi tempi sono in notevole aumento.
Sfruttando questo particolare tipo di attacco, ad esempio, i criminal hacker riescono a rubare le credenziali di accesso alla suite Office 365 dei dipendenti aziendali per poi utilizzarli per inviare e-mail dall’account reale delle vittime.
La scelta di puntare a compromettere gli account di accesso alla suite Microsoft per l’ufficio non è ovviamente casuale: bisogna infatti considerare che oltre la metà delle aziende nel mondo già utilizza Office 365. Riuscire a compromettere questi account consente ai criminal hacker di avere una comoda porta di ingresso alle infrastrutture aziendali e ai suoi dati. Un business che rende molto bene.
Una volta che un account è compromesso, gli attaccanti iniziano a monitorare e tracciare le attività della vittima per capire come l’azienda lavora, quali firme sono usate nelle e-mail e come sono gestite eventuali transazioni finanziarie, così da potere successivamente lanciare l’attacco, che può comportare la sottrazione delle credenziali di altri account.
In particolare, un attacco di tipo account takeover può avvenire usando diverse modalità:
- in alcuni casi, i criminal hacker usano nomi utente e password sottratti in seguito a precedenti furti di credenziali. Così facendo, hanno gioco facile considerando che spesso le persone usano la stessa password per i propri differenti account e quindi le credenziali di accesso possono essere “riutilizzate” per compromettere altri account;
- altre volte, gli aggressori ricorrono ad attacchi di “forza bruta” (brute force) sono un altro metodo utilizzato per l’account takeover, in quanto le persone usano spesso password molto semplici, facili da indovinare e che non vengono cambiate con la necessaria frequenza.
Gli attacchi, inoltre, possono anche avvenire via web e tramite le applicazioni aziendali, oltre che mediante SMS utilizzando la tecnica dello smishing, cioè il phishing via SMS.
Lateral phishing: i dettagli della minaccia
Nel caso degli attacchi account takeover di tipo lateral phishing i criminal hacker usano gli account di cui si sono impossessati per inviare e-mail di phishing a una varietà di destinatari, dai contatti più frequenti all’interno dell’azienda a quelli appartenenti ai principali partner di altre organizzazioni.
Ritornando ai numeri dello studio condotto dai ricercatori di Barracuda, c’è un aspetto di questo nuovo tipo di attacco che colpisce più di altri: la quantità di vittime potenziali che il malvivente può raggiungere in maniera semplicissima, usando semplicemente indirizzi di posta elettronica rubati ai legittimi proprietari.
I criminal hacker, poi, utilizzano tali account per inviare e-mail di lateral phishing a decine o centinaia di altre organizzazioni esterne, amplificando la diffusione dell’attacco e causando un grosso danno di reputazione all’organizzazione che, per prima, è rimasta vittima di un simile attacco.
Come difendersi dal lateral phishing
Per fortuna, le tecniche di difesa dal lateral phishing non mancano e sono anche abbastanza semplici da adottare e mettere in pratica.
Oltre alle regole di base da adottare per difendersi dai “normali” attacchi di phishing, sono essenzialmente tre le precauzioni da prendere per proteggere l’azienda dal lateral phishing: formazione sulla sicurezza, tecniche avanzate di identificazione, autenticazione a due fattori.
Formazione sulla sicurezza
Potenziare la formazione e assicurarsi che gli utenti siano a conoscenza di questo nuovo tipo di attacchi contribuirà a ridurne le percentuali di successo. A differenza dei tradizionali attacchi phishing, che spesso usano indirizzi falsi o contraffatti per spedire le e-mail, gli attacchi di lateral phishing sono inviati da account legittimi ma compromessi. Di conseguenza, dire agli utenti di verificare le proprietà del mittente o l’intestazione del messaggio in questo caso non serve.
In molti casi, gli utenti possono riconoscere l’attacco di lateral phishing controllando accuratamente l’URL di ogni link prima di cliccarci sopra. È importante verificare l’effettiva destinazione dei link in tutte le e-mail e non solo il testo dell’URL visualizzato nel messaggio di posta elettronica.
Tecniche avanzate di identificazione
Il lateral phishing rappresenta una sofisticata evoluzione nello spazio degli attacchi veicolati dalla posta elettronica. Poiché queste e-mail provengono da un account legittimo, gli attacchi sono difficili da riconoscere anche per gli utenti più formati e informati.
Le aziende dovrebbero dunque investire in servizi e tecniche avanzate di identificazione basate sull’uso dell’intelligenza artificiale e del machine learning capaci di riconoscere le mail pericolose senza lasciare all’utente tutto il lavoro.
Autenticazione a due fattori
Infine, una delle misure più efficaci che le organizzazioni possono adottare per ridurre la pericolosità degli attacchi di lateral phishing è l’adozione di tecniche forti di autenticazione a due fattori (2FA), sia basate su un’app sia basate su un token hardware, se disponibile.
Per quanto possano comunque essere suscettibili al phishing, le soluzioni non hardware possono aiutare a limitare l’accesso del malvivente agli account compromessi.
