Microsoft Office365 sta diventando sempre di più lo strumento di posta elettronica maggiormente utilizzato nelle aziende di ogni dimensione e proprio questo utilizzo sempre più diffuso ha portato l’utente a prendere più confidenza e fiducia: infatti se riceviamo una email da un collega tendiamo a non pensare che dietro a questa email si possa celare un tentativo di frode.
In questo approfondimento diamo un’occhiata a una minaccia sempre più diffusa, l’acquisizione dell’account di Office365, in cui gli aggressori tentano di rubare credenziali e ottenere l’accesso per lanciare attacchi da un account
interno all’organizzazione.

Molti tentativi di phishing sono facili da individuare per gli utenti finali perché
contengono richieste in grassetto, parole errate o allegati sospetti, che sollevano bandierine rosse. Tuttavia, stiamo assistendo ad un aumento di attacchi che sono molto più difficili da individuare a causa della natura personalizzata con cui sono accuratamente realizzati: questo è il caso di seguito.
Se dai un’occhiata all’immagine dell’email qui sotto, il messaggio in sé non sembra essere nulla di preoccupante, sembra provenire da Microsoft per avvisare l’utente della necessità di riattivare il proprio account Office365.

Richiama sì la nostra attenzione ma niente di eccessivamente allarmante: evidenzia che l’account dell’utente “è stato sospeso” e non è un’azione tipica degli account di MsOffice365.
Come nel caso di eventuali email sospette, l’utente deve sempre avvisare il proprio reparto IT anche quando riceve un messaggio come questo.

Ma cosa succede se l’utente decide di seguire le indicazioni suggerite da questo messaggio? Questo particolare attacco è progettato proprio per rubare le credenziali di O365 dell’utente e impossessarsi dell’account. L’utente fa clic su un collegamento che lo rimanda ad una pagina di destinazione ben realizzata e
credibile in cui viene richiesto di inserire le proprie credenziali: una volta inserite il gioco è fatto, gli aggressori avranno le credenziali di accesso all’account.

Un altro scenario diffuso è quello in cui gli aggressori utilizzano l’account compromesso per inviare messaggi ad altri dipendenti all’interno dell’azienda nel tentativo di raccogliere, con una azione urgente, credenziali aggiuntive, informazioni riservate o l’inoltro di informazioni sensibili come ad esempio i dettagli fiscali dei dipendenti.
Questo approccio ha in genere un successo più a breve termine proprio perchè sollecita una risposta o un’azione immediata.
Un metodo interessante consiste nell’utilizzare un allegato PDF: in questo caso, sembra che un collega inoltri un documento da rivedere (l’allegato PDF) e di solito ci sono istruzioni casuali nell’email che dicono che è possibile accedere al documento inserendo una mail di lavoro e una password.
Un altro modo per acquisire le credenziali è inviare una fattura per il pagamento che richiede al destinatario di accedere ad un “portale web” per visualizzare la fattura (falsa).

Per ricapitolare, le tecniche utilizzate negli attacchi di compromissione dell’account di Office365 sono:

  • SPEAR PHISHING: gli aggressori inviano un messaggio di posta elettronica che richiede agli utenti di seguire un collegamento per reimpostare le credenziali di Office365

  • COMPROMISSIONE DELL’ACCOUNT: una volta che gli aggressori hanno le credenziali di un utente, sono in grado di lanciare nuovi attacchi da quell’account

  • IMPERSONIFICAZIONE DI “INSIDER”: gli aggressori inviano email che sembrano provenire da altri dipendenti dall’interno dell’azienda

Cosa fare – Alcuni consigli

  • Formazione e sensibilizzazione degli utenti: i dipendenti devono essere il primo firewall dell’azienda e vanno regolarmente formati per aumentare la loro consapevolezza sulla protezione dai vari tipi di attacchi.
    L’addestramento con attacchi simulati è di gran lunga la forma di allenamento più efficace.
  • Dotarsi di strumenti capaci di rilevare gli attacchi di social engineering all’interno del perimetro, quelli che hanno baypassato i gateway tradizionali e che possono provenire sia da fonti interne che esterne l’azienda.

SENTINEL

E’ un servizio cloud che con una profonda integrazione con MsOffice365 e l’utilizzo dell’intelligenza artificiale fa un’analisi del testo delle email e dei domini apprende le funzioni tipiche di ogni utente e rileva i messaggi insidiosi non bloccati inviati a utenti specifici, per prevenire truffe di email compromesse, furti di account, spear phishing e altre frodi informatiche.

SENTINEL combina tre potenti livelli:

  • UN MOTORE DI INTELLIGENZA ARTIFICIALE che blocca gli attacchi di spear phishing in tempo reale e identifica le persone più a rischio all’interno dell’azienda

  • VISIBILITA’ SULLE FRODI DEL DOMINIO  utilizzando l’autenticazione DMARC per proteggersi dallo spoofing del dominio

  • FORMAZIONE sulla simulazione delle frodi per individui ad alto rischio

SENTINEL offre:

  • DIFESA IN TEMPO REALE CONTRO LA COMPROMISSIONE DELLA POSTA ELETTRONICA AZIENDALE

L’esclusiva architettura basata su API di SENTINEL consente al suo motore di intelligenza artificiale di analizzare la posta elettronica storica e apprendere l’unicità degli utenti. Può quindi identificare anomalie nei metadati e nei contenuti dei messaggi, per trovare e bloccare gli attacchi di social engineering in tempo reale.

  • PROTEZIONE CONTRO FURTO DI ACCOUNT

L’acquisizione dell’account consente agli hacker di studiare il loro obiettivo e pianificare l’attacco. Le tradizionali difese non sono progettate per identificare questa tipologia di attacchi e per questo motivo sono inefficaci.
SENTINEL individua gli attacchi phishing utilizzati per raccogliere credenziali per l’acquisizione di account, rilevando comportamenti anomali e avvisa l’IT quindi rimuove tutte le email inviate da account compromessi.

  • PROTEZIONE DEL MARCHIO E VISIBILITÀ DELLE FRODI NEL DOMINIO

Lo spoofing di dominio è un tipo di attacco di ingegneria sociale indirizzato a dipendenti, clienti e partner; Barracuda SENTINEL aiuta a prevenire le frodi nel dominio email con i report e le analisi DMARC (Domain Authentication Reporting and Conformance).
La visibilità e l’analisi granulare dei report DMARC consentono di ridurre al minimo i falsi positivi, proteggere le email legittime e prevenire lo spoofing.

Barracuda offre uno strumento gratuito basato sul cloud “Barracuda Email Threat Scanner” che esegue la scansione della cassetta postale di Office365 alla ricerca di minacce avanzate che abbiano superato il tuo gateway:

  • E’ veloce: richiede solo pochi minuti per l’installazione e solo poche ore per ottenere i risultati dell’analisi
  • E’ sicuro: non ha alcun impatto sulle performance dei sistemi

 

 

Per richiedere “Barracuda Email Threat Scanner gratuito” e per avere informazioni su SENTINEL compila il form: