Aggiornamenti recenti Novembre 20th, 2024 10:12 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
- L’API di Microsoft Power Pages può esporre dati sensibili
Microsoft individua un aumento di campagne BEC che sfruttano servizi cloud
Negli ultimi anni il numero di campagne di business email compromise (BEC) è cresciuto notevolmente, anche grazie a un aumento dell’abuso di servizi cloud ampiamente usati come Dropbox, SharePoint e OneDrive.
A lanciare l’allarme è Microsoft: in un recente post sul suo blog, la compagnia ha evidenziato che la diffusione di questi servizi collaborativi e di file sharing nelle organizzazioni rende gli utenti aziendali un obiettivo molto interessante per gli attaccanti. Abusando della fiducia che gli utenti ripongono in questi servizi e della facilità di utilizzo, i cybercriminali riescono a condividere file e link malevoli, eludendo i tradizionali controlli di sicurezza.
Microsoft spiega che l’abuso di questi servizi cloud per condurre campagne BEC è diventato un trend soprattutto per la relativa facilità di svolgimento degli attacchi. Da metà aprile 2024, la compagnia ha individuato in particolare due tattiche più usate dagli attaccanti per superare i meccanismi di difesa: una consiste nel condividere via e-mail file con restrizioni di accesso che possono essere aperti solo dal destinatario specificato; questo implica che l’utente debba essere loggato al servizio o eventualmente autenticarsi di nuovo inserendo email e OTP.
La seconda tattica sfrutta i file con permessi di sola lettura per eludere i sistemi di detonation nelle e-mail: i file condivisi dagli attaccanti sono impostati in modalità “Sola lettura” per impedirne il download e di conseguenza l’individuazione di URL malevoli nel file.
Solitamente gli attaccanti ottengono l’accesso iniziale compromettendo l’utente di un vendor dell’azienda e inviando dei file all’organizzazione target da questo account. “Questo abuso di servizi di file hosting legittimi è particolarmente efficace perché i destinatari sono più propensi a fidarsi delle e-mail provenienti da fornitori noti, consentendo agli attaccanti di aggirare le misure di sicurezza e compromettere le identità” spiegano i ricercatori di Microsoft.
I file condivisi, per essere più credibili, di solito fanno riferimento ad argomenti già oggetto di discussione tra le due aziende o a temi legati al business, e in generale si basano su un senso di urgenza per portare gli utenti ad aprire immediatamente i documenti ricevuti.
Quando la vittima accede al file condiviso, gli viene chiesto di verificare la sua identità inserendo l’email e l’OTP. L’utente apre quindi il documento dove è presente una finta preview di un messaggio e un pulsante per visualizzarlo interamente. Il link rimanda la vittima a una pagina di phishing controllata dall’attaccante; qui gli viene richiesto di inserire la sua password e completare l’autenticazione multifattore. Il token, ora in possesso degli attaccanti, può essere usato per prendere il controllo dell’account utente e proseguire con la campagna.
Difendersi dagli attacchi BEC che abusano del cloud
Per proteggersi da questi attacchi sempre più frequenti, Microsoft consiglia innanzitutto di rendere obbligatoria l’autenticazione multifattore per tutti gli utenti aziendali e, se possibile, eliminare le password.
Nel caso si utilizzi Microsoft Entra, è utile abilitare le policy di accesso condizionale e implementare la continuous access evaluation per verificare continuamente la sicurezza degli accessi. È inoltre fondamentale adottare soluzioni di sicurezza in grado di identificare e bloccare siti potenzialmente malevoli e di scartare le email sospette o anomale prima che raggiungano le vittime.
Condividi l'articolo
Attaccanti nascondono uno skimmer negli e-commerce sfruttando i caratteri Unicode
Cyberinsurance: misurare il rischio umano può rivoluzionare le polizze
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione... -
Phishing, breach e trojan bancari: Acronis condivide il... L’attuale panorama delle minacce si presente sempre...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata... -
L’API di Microsoft Power Pages può esporre dati... Aaron Costello, Chief of SaaS Security Research di AppOmni,...
Ransomware: la serie
No posts found.
