Aggiornamenti recenti Marzo 28th, 2025 3:40 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
- RedCurl passa al ransomware: scoperto il primo attacco con QWCrypt
- Mimecast: con l’AI una nuova era per la Data Loss Prevention
- Leak Oracle Cloud: numerose compagnie confermano il furto di dati
- Windows 11: l’ultimo update interrompe il ripristino del sistema con Veeam Recovery Media
Microsoft individua un aumento di campagne BEC che sfruttano servizi cloud
Negli ultimi anni il numero di campagne di business email compromise (BEC) è cresciuto notevolmente, anche grazie a un aumento dell’abuso di servizi cloud ampiamente usati come Dropbox, SharePoint e OneDrive.
A lanciare l’allarme è Microsoft: in un recente post sul suo blog, la compagnia ha evidenziato che la diffusione di questi servizi collaborativi e di file sharing nelle organizzazioni rende gli utenti aziendali un obiettivo molto interessante per gli attaccanti. Abusando della fiducia che gli utenti ripongono in questi servizi e della facilità di utilizzo, i cybercriminali riescono a condividere file e link malevoli, eludendo i tradizionali controlli di sicurezza.
Microsoft spiega che l’abuso di questi servizi cloud per condurre campagne BEC è diventato un trend soprattutto per la relativa facilità di svolgimento degli attacchi. Da metà aprile 2024, la compagnia ha individuato in particolare due tattiche più usate dagli attaccanti per superare i meccanismi di difesa: una consiste nel condividere via e-mail file con restrizioni di accesso che possono essere aperti solo dal destinatario specificato; questo implica che l’utente debba essere loggato al servizio o eventualmente autenticarsi di nuovo inserendo email e OTP.
La seconda tattica sfrutta i file con permessi di sola lettura per eludere i sistemi di detonation nelle e-mail: i file condivisi dagli attaccanti sono impostati in modalità “Sola lettura” per impedirne il download e di conseguenza l’individuazione di URL malevoli nel file.
Solitamente gli attaccanti ottengono l’accesso iniziale compromettendo l’utente di un vendor dell’azienda e inviando dei file all’organizzazione target da questo account. “Questo abuso di servizi di file hosting legittimi è particolarmente efficace perché i destinatari sono più propensi a fidarsi delle e-mail provenienti da fornitori noti, consentendo agli attaccanti di aggirare le misure di sicurezza e compromettere le identità” spiegano i ricercatori di Microsoft.
I file condivisi, per essere più credibili, di solito fanno riferimento ad argomenti già oggetto di discussione tra le due aziende o a temi legati al business, e in generale si basano su un senso di urgenza per portare gli utenti ad aprire immediatamente i documenti ricevuti.
Quando la vittima accede al file condiviso, gli viene chiesto di verificare la sua identità inserendo l’email e l’OTP. L’utente apre quindi il documento dove è presente una finta preview di un messaggio e un pulsante per visualizzarlo interamente. Il link rimanda la vittima a una pagina di phishing controllata dall’attaccante; qui gli viene richiesto di inserire la sua password e completare l’autenticazione multifattore. Il token, ora in possesso degli attaccanti, può essere usato per prendere il controllo dell’account utente e proseguire con la campagna.
Difendersi dagli attacchi BEC che abusano del cloud
Per proteggersi da questi attacchi sempre più frequenti, Microsoft consiglia innanzitutto di rendere obbligatoria l’autenticazione multifattore per tutti gli utenti aziendali e, se possibile, eliminare le password.
Nel caso si utilizzi Microsoft Entra, è utile abilitare le policy di accesso condizionale e implementare la continuous access evaluation per verificare continuamente la sicurezza degli accessi. È inoltre fondamentale adottare soluzioni di sicurezza in grado di identificare e bloccare siti potenzialmente malevoli e di scartare le email sospette o anomale prima che raggiungano le vittime.
Condividi l'articolo
Attaccanti nascondono uno skimmer negli e-commerce sfruttando i caratteri Unicode
Cyberinsurance: misurare il rischio umano può rivoluzionare le polizze
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account... -
Indagine Zscaler: le aziende devono investire sulla... Le aziende temono gli attacchi informatici e la loro...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso... -
RedCurl passa al ransomware: scoperto il primo attacco con... RedCurl, gruppo hacker russo attivo almeno dal 2018 e... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel...
-
Leak Oracle Cloud: numerose compagnie confermano il furto... Dopo una settimana di speculazioni, è arrivata la... -
Windows 11: l’ultimo update interrompe il ripristino... L’ultimo aggiornamento di Windows sta creando non...
Ransomware: la serie
No posts found.
