Il phishing arriva in azienda perché è l’azienda il luogo più fertile per poter monetizzare eventuali attacchi. Non solo: è anche uno dei contesti più prolifici, perché l’utente agisce in una sorta di comfort zone legata ad una serie di pregiudizi sull’affidabilità di taluni riferimenti e taluni strumenti di difesa, abbassando spesso il senso critico rispetto alle azioni compiute. Una analisi Check Point ha posto in evidenza cosa ciò possa determinare analizzando un recente attacco (aprile 2020) che ha colpito in modo particolarmente sofisticato.
Questione di redirect
Basti questa breve descrizione dell’attacco per capire di che tipo di azioni si tratti:
Gli hacker hanno dirottato il server di posta elettronica dell’Università di Oxford per inviare e-mail dannose alle vittime. Le e-mail contenevano link che reindirizzavano a un server Adobe, utilizzato da Samsung in passato, consentendo agli hacker di sfruttare la facciata di un dominio legittimo di Samsung per ingannare con successo le vittime. Le vittime venivano condotte in un falso percorso con l’obiettivo di spingerle a condividere le credenziali di accesso di Office 365.
Risorse e brand mirati possono essere utilizzati per mascherare di genuinità un attacco, insomma, lasciando anche l’utente attento di fronte ad una situazione di difficile interpretazione immediata. Ecco perché la difesa va strutturata anzitutto a livello preventivo seguendo best practice ormai del tutto note e consolidate, ma troppo spesso ignorate, eluse o sottovalutate:
- utilizzare password diverse per le applicazioni cloud. Questa suddivisione protegge le informazioni quando si è esposti;
- utilizzare soluzioni di sicurezza per cloud e e-mail. Il fatto che queste campagne prosperino dimostra che le soluzioni di sicurezza native sono facili da aggirare: usare le soluzioni di sicurezza specifiche permette di per rimuovere le minacce penetrare via e-mail e proteggere l’infrastruttura in-cloud;
- non inserire le credenziali quando non ci si aspetta di farlo, su un sito che normalmente non le richiede. Spesso si tratta di una truffa sotto mentite spoglie.
L’accesso alla posta aziendale può consentire agli hacker un accesso illimitato alle operazioni di un’azienda, come ad esempio transazioni, report finanziari, invio di e-mail all’interno dell’azienda da una fonte affidabile, password e persino indirizzi delle risorse cloud di un’azienda. Per portare a termine l’attacco, l’hacker ha dovuto accedere ai server di Samsung e Oxford, il che significa che ha avuto il tempo di capire il loro funzionamento interno, permettendogli di passare inosservato
David Gubiani, Regional Director SE EMEA Southern di Check Point
L’Università di Oxford, Adobe e Samsung sono del tutto ignare del fatto che i loro brand siano stati sfruttati per l’attacco: Check Point ha segnalato ai relativi responsabili quanto accaduto, così che fosse possibile prendere provvedimenti a tutela delle aziende coinvolte.