Dall’ultimo Cloud and Threat Report di Netskope (febbraio 2021), uno studio che analizza le principali tendenze relative all’uso di app e servizi cloud aziendali e alle minacce che provengono dal cloud, emerge che la maggior parte del malware (61%) viene distribuito tramite applicazioni cloud e che le app cloud stanno rimodellando il panorama delle minacce di phishing: più di una campagna di phishing su tre (36%) viene infatti veicolata tramite app cloud.
Indice degli argomenti
Un denominatore comune nei report sul phishing
I servizi cloud costituiscono un vettore di attacco particolarmente interessante per i criminali, un’evidenza confermata da molteplici vendor e organizzazioni di sicurezza.
Per esempio, un report pubblicato di recente da Check Point ha rilevato che nel quarto trimestre del 2020 Microsoft è stato il marchio più impersonificato nelle campagne di phishing, comparendo nel 43% dei tentativi.
Sfortunatamente, Microsoft non è l’unico servizio cloud tra i primi dieci; LinkedIn (un altro marchio Microsoft) si posiziona al terzo posto (6%) di questa insolita classifica e Google al settimo (2%). È interessante notare come questo report collochi il comparto tecnologico in vetta ai settori verticali più impersonificati.
Altri report restituiscono risultati molto simili. Vade Secure ha analizzato l’intero anno 2020 e, per il terzo anno consecutivo, ha collocato Microsoft in cima alla lista dei brand più impersonificati. Non sorprende che abbia anche scoperto che i servizi cloud sono i verticali più impersonificati negli attacchi di phishing.
E non sono solo i vendor di sicurezza a segnalare il rischio collegato alle app cloud. Il Phishing Trends Report Q4 2020 pubblicato dall’Anti-Phishing Working Group (APWG) illustra risultati simili, posizionando “SaaS/webmail” al secondo posto tra i settori più colpiti nel quarto trimestre 2020. Dopo aver mantenuto il primo posto per diversi trimestri, questo settore è stato superato dalle “istituzioni finanziarie”.
Nonostante piccole differenze tra i vari studi, tutti concordano e confermano che le credenziali cloud sono al primo posto nell’interesse dei phisher. La pandemia ha accelerato l’adozione del cloud, che si è rivelato un metodo estremamente agile per rispondere alle sfide immediate della mobilità e della multicanalità di risorse e strumenti di business. I criminali si sono rapidamente organizzati per monetizzare questa tendenza.
Phishing dal cloud, per il cloud
Oltre ad essere tra i brand più impersonificati, le applicazioni SaaS/IaaS offrono anche un’infrastruttura ideale per lanciare attacchi di phishing. Queste applicazioni forniscono hosting semplificato per gli attaccanti; presentano all’utente un dominio legittimo, un certificato legittimo e sono ritenute implicitamente sicure.
Troppo spesso, vengono inserite in whitelist da tecnologie di sicurezza di generazione precedente che non sono in grado di decifrare il traffico SSL/TLS su vasta scala o semplicemente non sono in grado di identificare il contesto della connessione e di conseguenza non possono riconoscere se il traffico è diretto verso un’istanza aziendale di un servizio cloud o verso un’istanza malevola utilizzata per lanciare un attacco.
Ancora una volta, i numeri non mentono. Secondo phishstats.info, nella sua lista dei Top 50 ISP sfruttati per il phishing nel 2021 sino ad oggi, Google si colloca al quarto posto, Amazon al settimo e Microsoft al nono. Da notare che due dei dieci domini che compaiono nella “Top 10 host” sono domini Google come “docs.google.com” o “drive.google.com”.
Esempi di false pagine di login
Una falsa pagina di login per un servizio cloud servita dalla stessa piattaforma (o da una piattaforma cloud dello stesso brand) è una scelta facile per i criminali informatici, una scelta che fa sembrare l’attacco un accesso legittimo e aumenta le sue possibilità di successo. Ciò è particolarmente vero per Microsoft e Google.
Nell’esempio seguente, Microsoft Forms viene utilizzato in modo improprio per ospitare una finta pagina di accesso a Microsoft Team:
Pagina di accesso falsa di Microsoft Teams servita da Microsoft Forms.
Il layout apparentemente semplice e l’avviso a non inserire password non rendono certamente questo attacco innocuo, come non servono a mitigare gli effetti di questi attacchi gli sforzi dei fornitori di servizi cloud per rimuovere queste pagine in modo tempestivo. Bloccare simili pagine richiede molto più tempo rispetto alla loro configurazione, senza considerare che sono facilmente replicabili su istanze diverse dello stesso servizio.
Quando è il momento di lanciare un attacco, i criminali sono in grado di sfruttare tutto il potenziale di un servizio cloud, anche quando quest’ultimo offre una flessibilità limitata. Come identificato dal report AWPG sopra citato, le “istituzioni finanziarie” sono il settore verticale maggiormente preso di mira per il phishing e non a caso vi sono molteplici esempi di istituzioni finanziarie imitate su moduli Google.
L’esempio sottostante mostra la creatività degli attaccanti applicata a Google Forms, concentrata in una pagina di login di American Express piuttosto sofisticata e molto ben fatta date le limitazioni di Google Forms.
Pagine falsa di login American servita da Google Forms.
Questi sono due esempi estremi, tuttavia là fuori ci sono abbastanza piattaforme cloud per costruire pagine molto convincenti in grado di imitare praticamente qualsiasi servizio appartenente a qualsiasi verticale. La schermata qui sotto mostra una falsa pagina di Microsoft 365 ospitata su Google Firebase.
Fake Microsoft 365 login page served from Google Sites.
I servizi cloud stanno rimodellando il panorama del phishing
È evidente che i servizi cloud offrono molteplici superfici di attacco ai phisher. Rappresentano oggi l’ingresso principale agli asset aziendali e questo spiega perché si collocano ai vertici dei settori più colpiti. Allo stesso tempo, sono il luogo ideale per creare pagine di phishing:
- possono eludere i gateway di sicurezza poiché l’URL di phishing e il relativo traffico appartengono a un servizio legittimo;
- sono considerati sicuri dagli utenti che riconoscono un dominio appartenente a un’organizzazione nota;
- consentono agli attaccanti di creare pagine di phishing molto rapidamente e di replicarle su istanze diverse senza tutte le attività aggiuntive legate all’hosting tradizionale. Inoltre, alcuni servizi cloud sono abbastanza potenti e flessibili da consentire la creazione di pagine elaborate;
- rendono l’attacco ancora più convincente quando la pagina di phishing creata appartiene a un servizio dello stesso provider di servizi cloud. Ad esempio, un falso modulo di accesso Microsoft fornito da un servizio Microsoft.
Conclusioni
Il “nuovo normale” sta condizionando il panorama delle minacce informatiche e l’abuso dei servizi cloud, strumenti fondamentali per molte organizzazioni al fine di mantenere la continuità di business, ne è una dimostrazione.
I criminali adattano continuamente le loro tattiche al contesto ed è pertanto necessario che le organizzazioni agiscano di conseguenza: educando i propri utenti ad un utilizzo responsabile e consapevole dei servizi cloud, e utilizzando soluzioni adatte al nuovo scenario, in grado di proteggere gli utenti nel nuovo ambiente di lavoro remoto.
