Attacchi di phishing contro strumenti di condivisione di dati e piattaforme di collaborazione online

02.10.2018 - Oggigiorno molte aziende consentono ai propri dipendenti di condividere documenti e persino di accedere a intere suite per l'ufficio online. Talvolta è sufficiente una semplice password per accedere, oltre che ad un account di posta elettronica, anche a molti altri documenti. Non è quindi sorprendente che i dati d'accesso siano obiettivi privilegiati per gli attacchi di phishing. Un conto compromesso viene poi molto spesso sfruttato come vettore per attaccare altri dipendenti.

Negli ultimi mesi MELANI ha ricevuto segnalazioni inerenti numerosi tentativi di phishing mirato, coi quali i criminali tentavano di ottenere dati d'accesso, imitando simili piattaforme: ad esempio tramite siti web riproducenti le pagine di accesso a Microsoft Office 365 o OneDrive. Le E-Mail in circolazione si distinguono per qualità e contenuto. In alcuni casi, al destinatario viene chiesto di identificarsi per risolvere un problema del proprio conto o per poter consultare un documento condiviso. In tutti i casi, essi vengono reindirizzati verso una pagina che imita quella del loro fornitore di servizi, sulla quale sono invitati a fornire il loro nome utente e la loro password.

Immagine1: esempio di una pagina phishing che imita OneDrive
Immagine1: esempio di una pagina phishing che imita OneDrive

Avendo accesso al conto, il criminale sarà in grado di:

  • programmare un reindirizzamento delle e-mail della vittima, che gli permetterà di leggere discretamente tutta la sua corrispondenza. Esso viene spesso effettuato sotto forma di copia, per non attirare l'attenzione del legittimo titolare del conto;
  • se l'account e-mail della piattaforma è definito come account di recupero per altri servizi, l'aggressore può tentare di reimpostare le password di questi ultimi, al fine di ottenere degli accessi supplementari;
  • a seconda delle autorizzazioni dell'utente dell'account, il criminale avrà accesso a diversi documenti. Può ad esempio chiedere ai colleghi della vittima di fornirgli l'accesso ad altri dati. Essi credendo che la richiesta provenga effettivamente dal loro collega potrebbero accettarla.

Per un criminale i dati d'accesso rappresentano spesso una vera e propria miniera d'oro, in quanto gli permettono di raccogliere le informazioni necessarie per un tentativo di frode mirata: relazioni commerciali, affari correnti, struttura e organigramma della società. Inoltre non si può escludere che queste informazioni possano essere utilizzate o rivendute a fini di spionaggio economico.

Una volta che un account è compromesso, tutti i contatti della vittima diventano potenziali bersagli. Questi ultimi rischiano spesso di essere tratti in inganno, ricevendo un'e-mail di phishing o contenente un malware direttamente dall'account di un collega o di un partner. In questo modo, l'aggressore potrà ottenere ulteriori accessi a reti aziendali.

Raccomandazioni:

A livello tecnico:

  • Utilizzare l'autenticazione a due fattori laddove disponibile.
  • Si raccomanda di scegliere un servizio che permetta all'utente di ottenere un adeguato registro delle attività dell'account.
  • Si raccomanda alle aziende di tentare di individuare le azioni anomale sui conti dei propri dipendenti: accesso da luoghi o orari inusuali, aggiunta di regole di reindirizzamento, ecc.
  • Le e-mail (almeno internamente) devono essere sempre firmate digitalmente. Le e-mail non firmate devono essere trattare con prudenza.
  • Per l'invio di e-mail legittime, che presentano un elevato rischio di deviazione a fini di phishing (ad esempio, l'invio di una fattura elettronica), occorre fare in modo che i link non siano nascosti dietro un testo in formato HTML e che le e-mail e/o i documenti siano firmati digitalmente.
  • Per ridurre il rischio di abusi del proprio dominio a scopo di phishing, si raccomanda di implementare i protocolli SPF, DKIM e DMARC. Questo è possibile anche con alcuni dei principali strumenti di collaborazione come Office365

A livello organizzativo:

  • Per combattere il phishing, la prevenzione del personale rimane la chiave: è necessario insegnare ai dipendenti a riconoscere le e-mail sospette e a reagire di conseguenza: non seguire un link o aprire un allegato, ma informare immediatamente il proprio supervisore o responsabile IT.
  • I dipendenti devono essere consapevoli della necessità di rispettare in ogni momento i processi e le misure precauzionali definite dall'azienda. In particolare, le procedure di pagamento devono essere chiaramente definite e seguite in tutte le situazioni (ad esempio, principio del controllo a quattro occhi, firma collettiva, procedure definite in base al sistema di controllo interno).
  • Annunciare i tentativi di phishing su www.antiphishing.ch. Gli annunci su antiphishing.ch consentono a MELANI di intervenire rapidamente per proteggere gli altri utenti.
https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/phishing_online_datenaustausch_kollaborationsplattformen.html