Con oltre 258 milioni di utenti, Microsoft 365 è diventata la piattaforma più ricca di facili bersagli per gli attacchi di phishing, ogni giorno sempre più sofisticati.
Oltre ai tradizionali metodi di hackeraggio, Microsoft 365 si presta ad una serie unica di tecniche potenzialmente sfruttabili dai cybercriminali.
Se anche i tu usi Microsoft 365 allora è bene prestare attenzione a ciò che stiamo andando a scoprire.
Perché i phisher adorano Microsoft 365
Nel 2019 Microsoft 365 è stata la piattaforma che ha ricevuto il maggior numero di attacchi di phishing.
Essendo una piattaforma multisistema vengono combinate applicazioni di posta elettronica, archiviazione di file, condivisione e produttività, come per esempio OneDrive e SharePoint, che insieme danno vita a un insieme vastissimo di file e dati sensibili moto appetibile da sfruttare per i phisher.
In SharePoint per esempio sono contenuti milioni e milioni di dati sensibili che se non correttamente preservati espongono le aziende a danni irreparabili.
Con un unico set di credenziali legittime usate in Microsoft 365, un hacker è in grado di passare a quella che spesso è considerata la fase 2 del phishing: lo spear–phishing.
Un volta dentro Microsoft 365, il malintenzionato può fingersi un collega o il CEO dell’azienda per richiedere per esempio di eseguire bonifici urgenti a finti conti correnti di fornitori o clienti.
Da qui poi sarà facilissimo ottenere altre credenziali e addirittura penetrare in altri sistemi e organizzazioni, soprattutto se l’utente “impersonato” ha rapporti frequenti con clienti e fornitori.
Perché gli utenti abboccano?
La risposta a questa domanda è semplice: l’occhio umano non è in grado di riconoscere un’interfaccia “taroccata” perché ciò che viene modificato è impercettibile.
Stiamo parlando di alterazioni del tipo: una tonalità di colore di immagini e loghi leggermente più scura/chiara, un punto o una lettera invertita inseriti nel dominio e altre tecniche simili.
Gli hacker sono diventati davvero esperti nella riproduzione maniacale di protocolli, interfacce, testi e tutto ciò che milioni di utenti vedono e usano nel quotidiano.
In alcuni casi, i phisher sfruttano l’archiviazione BLOB (Binary Large OBject) di Microsoft Azure come mezzo per creare landing page con certificati SSL firmati da Microsoft e un dominio windows.net.
Con le pagine che rubano credenziali costruite letteralmente sulla stessa piattaforma utilizzata dal destinatario, è facile ingannare gli utenti.
L’aspetto più pericoloso da considerare è proprio quello delle email di phishing interne.
Come dicevamo sopra, se un dipendente riceve una email da parte del proprio responsabile o CEO, difficilmente si chiede se sia una richiesta vera o fasulla.
Le tipologie di attacco
Come ormai avrete capito, gli attacchi di phishing sono più sofisticati, innovativi e implacabili rispetto al passato oltre che più mirati e non più di massa.
Vediamo i più frequenti:
- messaggio vocale: l’email che arriva in questo caso riporta nell’oggetto “hai ricevuto un messaggio vocale da +39 ….” ed è personalizzata perché il mittente indica il tuo nome e solitamente il dominio dal quale proviene è microsoft.com.
- azione richiesta: il messaggio questa volta arriva con un avviso urgente che porta l’utente a compiere un aggiornamento di credenziali o di informazioni di pagamento.
- file condiviso: qui la tattica è usare i nome di un contatto verosimile che condivide con te un file e ti porta a rivelare le tue credenziali perché per accedere alla piattaforma cloud “casualmente” il tuo account si è disconnesso e devi rifare il login.
E quindi? Che si fa?
Come prevenire gli attacchi di phishing su Microsoft 365
Per proteggere i tuoi clienti dagli attacchi informatici diffusi attraverso la posta elettronica le misure di sicurezza standard offerte da Microsoft 365, come Exchange Online Protection (EOP), non bastano.
Due sono le best practices necessarie da implementare:
- consapevolezza dell’utente: solo attraverso delle sessioni periodiche di formazione è possibile istruire i dipendenti di un’azienda a riconoscere e individuare un attacco di phishing;
- aggiungere un livello di protezione: sto parlando di una soluzione che si integri perfettamente con EOP e che non stia quindi “al di fuori” come i tradizionali gateway di posta elettronica.
A proposito del secondo punto, è bene che tu sappia che esiste una soluzione, G-Cloud Mail AI Protection, che grazie all’utilizzo di Vade e dell’Intelligenza Artificiale e del Machine Learnings riesce ad analizzare in tempo reale comportamenti anomali per riuscire a proteggere la casella di posta elettronica anche dalle minacce non note.
Se vuoi saperne di più contattaci.