Fujitsu Cyber Threat Intelligence individua un attacco phishing su Office 365

 //

Con Microsoft 0ffice 365, sono disponibili una serie di servizi SaaS (Software As A service) come Skype, Office, OneDrive e SharePoint che permettono agli utenti di migliorare la propria produttività e di poter accedere al sistema ovunque siano. Tutto ciò costituisce un grande vantaggio per le organizzazioni ma purtroppo comporta anche dei rischi.
Una ricerca condotta da Fujitsu CTI (Cyber Threat Intelligence) ha identificato una nuova minaccia in grado di compromettere le credenziali degli utenti attraverso una catena di phishing e Microsoft Office 365 (O365).

phishing

La minaccia

Questo attacco si avvale appunto di una catena phishing e di Office 365 e ha già creato grossi problema alle organizzazioni sin dal giugno scorso. L’utente riceve un’e-mail da uno dei fornitori, contenente una landing page in cui si richiede di inserire le proprie credenziali di Office 365.
Nella seconda fase, vengono usate le credenziali rubate per cercare di far cadere nella trappola ulteriori contatti dell’utente. L’attacco a alte possibilità di avere successo perché l’e-mail sembra provenire da un contatto di fiducia.

In questa immagine è raffigurato un diagramma dell’attacco:

Diagramma

Le potenziali conseguenze

Nonostante questa tattica non sia nuova e venga spesso usata, il rischio è amplificato dall’implicazione di Office 365 che, una volta violato, dà accesso agli altri servizi di Microsoft come Skype, SharePoint e One Drive, come mostra la seguente tabella.

Area(s) of exposure Potential Risk
SharePoint Sensitive document library / IPR / Data Loss
Yammer Community discussions / Data Loss
Skype for Business Business conversations / Meeting eavesdropping
Exchange Sensitive email communications / Diary entries
Dynamics Customer data and ERP
Azure AD Identity data / credential theft / Domain compromise

Modus Operandi

Con attacchi di questo tipo, la minaccia non colpisce solo l’organizzazione, ma anche i suoi fornitori o addirittura i suoi clienti.
La catena di eventi è la seguente:

  1. Gli utenti ricevono un’email che contiene un link.
  2. Gli utenti cliccano sul link che li fa atterrare su un sito solo apparentemente sicuro.
  3. Gli utenti si loggano con le proprie credenziali e sono poi ri-indirizzati alla pagina originale di login di Microsoft.
  4. I criminali usano le credenziali per entrare nell’ambiente O365 o per configurare un client se Outlook Anywhere non è attivo.
  5. I criminali ora si mascherano come l’utente la cui identità è stata violata e, utilizzando le sue credenziali, inviano nuove email a contatti esterni e interni.
  6. Se l’utente attaccato chiede conferma dell’identità tramite Skype o altri metodi di comunicazione, chi lo sta attaccando può rispondere per confermargliela, dando ulteriore conferma all’utente della genuinità della mail.
  7. Gli utenti, rassicurati, procedono quindi a inserire le proprie credenziali nei siti fasulli.
  8. La catena si ripete coinvolgendo contatti sia esterni che interni all’organizzazione.

Gli attacchi vengono perpetrati in particolar modo contro gli utenti o i team che si occupano di questioni finanziarie.

In conclusione

Vista la possibilità di avere accesso a dati importanti salvati in O365, questo attacco ha elementi che lo rendono compatibile con il furto di identità aziendale che, se effettuato, dà la possibilità ai criminali di interagire con contatti interni ed esterni fingendosi una persona di fiducia. Il danno potenziale quindi può essere elevato.
L’attacco spesso va a buon fine, perché gli utenti pensano di essere contattati da qualcuno che conoscono e abbassano la guardia.
Le opzioni di configurazione di Microsoft offrono numerosi rimedi per proteggersi come (ma non solo) la Prevenzione della Perdita de Dati, l’Autenticazione Multifattoriale e le Soluzioni Avanzate contro le Minacce.
Fujitsu CTI offre un servizio per aiutarti a determinare se il tuo ambiente O365 è stato compromesso, analizzando i log e altri indicatori.
In alternativa, Fujitsu può aiutarti a valutare e settare la configurazione di O365 ottimale per minimizzare i rischi e prevenire le minacce.

Share on Facebook0Tweet about this on Twitter0Google+0Pin on Pinterest0Share on LinkedIn0Email to someone
 //

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>