Una nuova e più potente serie di attacchi di phishing, che ha come bersaglio molteplici account Microsoft, cominciata già all’inizio del 2020 si è ora espansa e ha già rubato circa 400.000 credenziali Outlook, web access e Office 365 da dicembre 2020. Si parla ancora di cybersecurity e dell’importanza della security awareness in generale.
Questi attacchi fanno parte di più campagne di phishing, comunemente denominate campagna “compact”. Il primo a rilevare questa serie di attacchi è stato l’intelligence team di WMC global, una società di sicurezza informatica americana con sedi operative site anche nel Regno Unito e in Australia.
Questa campagna è unica nel suo genere perché utilizza domini affidabili per garantire la consegna delle mail e impedire il blocco delle pagine di phishing, ed è proprio questo il fattore più preoccupante per gli utenti che non sanno come proteggersi e che quindi mostrano un rischio elevato in ambito di sicurezza informatica interna.
Come avvengono gli attacchi informatici?
Gli attacchi avvengo tramite e-mail falsificate, che sembrano provenire da servizi di videoconferenza, da soluzioni di sicurezza informatica e da varie aziende anche molto conosciute.
Gli autori degli attacchi hanno utilizzato diversi account Sendgrid e Mailgun compromessi, dei servizi di posta elettronica transazionale e di marketing, sostituendo il campo di invio con il nome di organizzazioni affidabili e utilizzando delle mail no-reply.
Per raggiungere le vittime utilizzano gateway di posta elettronica sicuri e software che filtrano la posta in entrata e in uscita per evitare che e-mail indesiderate raggiungano l’utente. Con questa tecnica le comunicazioni malevoli vengono elencati come domini affidabili e compaiono quindi comunque nella casella di posta elettronica dell’utente.
Sono spesso utilizzate tecniche di social engineering che spingono gli utenti a rivelare i propri dati personali. Come noto, le e-mail possono presentare differenti richieste, come richieste di aggiornamento della password o aggiornamenti sulle conferenze, e attraverso dei link rimandano le vittime a pagine create appositamente per le attività di phishing.
Come funziona la truffa informatica “Compact”
Da quanto è stato rilevato da WMC Global, durante gli attacchi di dicembre le pagine di destinazione hanno impersonato il dipartimento IT di Outlook, comunicando al destinatario la necessità di aggiornare Microsoft Outlook all’ultima versione. Il link rimandava a un indirizzo dannoso, che se compilato permetteva al truffatore di avere l’accesso a qualsiasi piattaforma che utilizza le credenziali Microsoft.
A gennaio gli attacchi si sono ripetuti utilizzando le stesse tecniche, ma questa volta impersonando il marchio Office 365. La collaborazione tra Microsoft, WMC Global e Sendgrid ha permesso il recupero delle credenziali rubate e l’individuazione delle e-mail degli attori responsabili delle minacce. I risultati sono stati condivisi con Appspot che ha confermato la natura dannosa degli URL, individuando e sospendendo altri progetti simili.
Un ulteriore studio da parte di WMC Global Threat Intelligence Team ha rilevato che gli aggressori sono attivi da molto tempo, con l’unica differenza che in precedenza hanno utilizzato diverse tecniche di Sociale Engineering e differenti temi di phishing. Ad agosto 2020 le mail impersonavano il programma Excel, oltre ad altri applicativi Microsoft, ma comunque Office 365 rimane il più utilizzato dagli attaccanti.
Attualmente il team sta cercando di capire le motivazioni dietro il gruppo di attori degli attacchi. La base, comunque, degli attacchi cyber rimane l’appropriazione delle credenziali di accesso per ottenere dati finanziari e sottrarre denaro ed identità.
Cosa consiglia di fare Microsoft?
Il primo passo è rivedere le regole del flusso di posta, alcune eccezioni potrebbero non rilevare i possibili tentativi di truffa.
È necessario essere consapevoli e a conoscenza degli attacchi di phishing riuscendo ad individuarli tra tutti i messaggi recapitati. Spesso i messaggi contengono chiamate all’azione, minacce, collegamenti sospetti, oppure possono presentare errori ortografici, di forma o più semplicemente il messaggio inizia con un saluto generico, senza essere nominativo.
Una volta individuato il tentativo di phishing si può inoltrare il messaggio al gruppo di lavoro anti-phishing della polizia postale o segnalare direttamente a Microsoft il phishing attraverso queste funzioni tecniche.
Come usare il componente aggiuntivo di Microsoft Segnala messaggio
Il componente aggiuntivo indicato da Microsoft come segnala messaggio funziona la versione Outlook 2016 e consente di segnalare messaggi di posta ritenuti sospetti direttamente a Microsoft. La funzionalità permette di gestire le modalità attraverso cui l’account di posta elettronica Microsoft 365 valuta questi messaggi.
Microsoft 365 contrassegna quindi direttamente i messaggi come posta indesiderata, i quali vengono spostati automaticamente nella cartella posta indesiderata. È necessario considerare che gli spammer e tutti i relativi tentativi di phishing, sono in continua e costante evoluzione.
Quando si riceve un messaggio indesiderato nella propria casella di Posta in arrivo, è possibile usare il componente aggiuntivo “Segnala messaggio” e quindi inoltrare direttamente al vendor Microsoft il messaggio. In questo modo l’utente può contribuire a contribuire l’aggiornamento dei filtri di protezione dalla posta indesiderata.
Allo stesso modo, se un messaggio attendibile viene inserito nella posa indesiderata, è importante utilizzare il componente aggiuntivo, “Segnala messaggio” per contrassegnarlo proprio come legittimo, al fine di spostarlo nella casella di Posta in arrivo e segnalando quindi un dato falso positivo
Segnalare un messaggio a Microsoft
Scegliendo l’opzione “Segnala messaggio” sulla barra multifunzione, è possibile visualizzare diverse opzioni di scelta.
-
Posta indesiderata
-
Phishing
-
Non indesiderato
-
Opzioni
-
Guida
L’opzione “Segnala messaggio” permette di scegliere se inviare direttamente a Microsoft e in maniera automatica vengono segnalati come tentativi di posta indesiderata o di phishing.
Indicando l’opzione di Posta indesiderata, Phishing o Non indesiderato, è possibile quindi procedere in maniera facoltativa, con l’invio di una copia del messaggio a Microsoft.
Per disattivare l’opzione dell’invio in copia del messaggio a Microsoft, scegliere Opzioni e quindi seguire la procedura.
Modificare le opzioni del componente aggiuntivo “Segnala messaggio”
1. Scegli la voce Opzioni dal pulsante segnala messaggio che trovi sulla barra multifunzione.
2. Seleziona una delle voci di opzione seguenti:
-
Inviare sempre una copia del messaggio a Microsoft
-
Non inviare mai una copia del messaggio a Microsoft
-
Chiedere conferma prima di inviare una copia del messaggio a Microsoft
3. Scegli Salva. Sulla barra informazioni del messaggio viene di seguito visualizzato un messaggio ad indicare che le modifiche sono state correttamente salvate
Come rimuovere il componente aggiuntivo “Segnala messaggio”
È possibile rimuovere il componente aggiuntivo attraverso lo Store dei componenti aggiuntivi di Outlook.
-
Clicca sul pulsante Store sulla barra multifunzione di Outlook
-
Scegli l’opzione: miei componenti aggiuntivi
-
Scorri fino a Segnala messaggio e scegli Disabilita o Disinstalla
Le prime mosse per difendersi dagli attacchi informatici
-
Annotarsi quanti più dettagli possibili sui dati appena condivisi
-
Modificare immediatamente le password
-
Attivare l’autenticazione a più fattori.
Se si tratta di account aziendali, contatta il personale del supporto IT dell’organizzazione e per ogni dubbio contatta un esperto in sicurezza informatica e in cybersecurity.
Il miglior metodo per sviluppare un reale processo di consapevolezza tecnica in ambito cybersecurity è prevedere un iniziale vulnerability assessment e un penetration testing interno per verificare tutte le componenti tecniche utilizzate e analizzare le possibili vulnerabilità presenti e gli scenari di attacco e di difesa specifici per la tua organizzazione. Per saperne di più, contattaci per maggiori informazioni sui nostri servizi in ambito security