Barracuda mette in guardia dai cybercriminali che sfruttano Google Docs, Outlook e DocuSign per sottrarre le credenziali
Quando riceviamo una mail da un servizio web fidato come Microsoft Outlook o DocuSign che ci fa sapere di avere dei messaggi non letti, siamo portati a seguire ciecamente le istruzioni per recuperare tali messaggi. Sfortunatamente, i cybercriminali sfruttano anche questi brand fidati per convincerci ad autenticarci su siti fake e a regalare, di fatto, le nostre credenziali.
In questo numero della rubrica Threat Spotlight, gli esperti di Barracuda analizzano come i criminali riescono abilmente a “travestirsi” da popolari servizi web – come Microsoft Outlook, DocuSign e Google Docs – per indurre le vittime a fornire le credenziali di accesso a questi servizi, che verranno poi usati per commettere frodi o per lanciare campagne mirate di spear phishing all’interno di un’organizzazione, con la speranza di fare il colpo grosso.
La minaccia: attacco phishing mediante l’imitazione di un popolare servizio web
Imitazione di un servizio web che indirizza a una finta pagina di login: in questi esempi, l’utente riceve una mail che sembra spedita da Microsoft Outlook, DocuSign o Google Docs, contenente un link che porta il destinatario a una finta pagina di login su un sito web legittimo. Il messaggio non contiene allegati pericolosi: i criminali contano sul fatto che il destinatario non riconosca come fasulla la pagina di login del servizio e inserisca le proprie credenziali, consegnando ai criminali l’accesso totale al proprio account di posta. Inoltre, i link usati in queste mail sono tipicamente “zero-day”, ovvero non sono mai stati usati prima in altre email e pertanto non appaiono in alcuna blacklist. Alcuni di questi link portano a siti del tutto legittimi di piccole aziende che sono stati compromessi, ma che godono di ottima reputazione per i tradizionali sistemi di sicurezza mail, potendo così sfuggire all’identificazione.
I dettagli
Il mese scorso, abbiamo osservato un’intensa attività con questi attacchi, come era prevedibile, dato che le tradizionali soluzioni di sicurezza non riconoscono queste mail che possono quindi in massima parte raggiungere l’utente finale senza essere individuate. Milioni di queste mail sono state inviate in varie campagne ed è dunque necessario istruire gli utenti su quali siano gli elementi da valutare nelle mail ricevute.
Tattiche semplici ma ben congegnate
Questi attacchi si basano su tattiche semplici ma efficaci:
- Presenza di un link a una pagina web che invita l’utente ad autenticarsi: qui possiamo vedere diversi esempi di questo phishing.
- Quando la vittima clicca sul link e viene diretta alla finta pagina di login, inserisce username e password pensando di non fare niente di diverso dal solito.
- Dopo essere entrato in possesso delle credenziali, il criminale le userà per collegarsi all’account Office 365 o altri account email della vittima utilizzandoli come punto di partenza per altri attacchi di spear phishing.
- A questo punto, è molto più difficile scoprire il malintenzionato, che inizierà a spedire email a colleghi e partner cercando di indurre i destinatari a cliccare su un link o a trasferire denaro su un certo conto corrente.
Le tradizionali soluzioni di sicurezza mail non riconoscono questi attacchi
Questi attacchi non vengono riconosciuti dalle attuali soluzioni di sicurezza mail per diverse ragioni:
- I link contenuti nella mail sono normalmente zero-day, dato che ogni mail contiene un link diverso. Di conseguenza, questi link non compaiono nelle black list.
- In molti casi, i link portano a un sito del tutto legittimo in cui il criminale è riuscito a inserire una finta pagina di login, mentre dominio e IP appariranno regolari.
- Sfortunatamente, le tecnologie di link protection non sono in grado di proteggere gli utenti da questi link. Poiché la mail contiene solo un link a una pagina di login, senza fare scaricare alcun codice malevolo, l’utente seguirà il link senza particolari cautele, fornendo nome utente e password.
Anche se un’organizzazione utilizza soluzioni tradizionali per la sicurezza mail, non ci sarà nulla che impedirà all’utente di fornire le proprie credenziali. La speranza più concreta per fermare questi attacchi sta in soluzioni che usano l’intelligenza artificiale per la protezione in tempo reale dallo spear phishing, come Barracuda Sentinel, insieme con sessioni di formazione mirate a sviluppare la conoscenza degli utenti sulle nuove minacce.
Barracuda Sentinel
La soluzione di intelligenza artificiale real time di Barracuda Sentinel è in grado di riconoscere il contenuto di una mail proveniente da un web service in base a segnali presenti nei metadati e nel corpo del messaggio:
- Ci si aspetta che un’email da Facebook provenga da messages@facebook.com e comprenda un link a facebook.com.
- E’ molto improbabile ricevere una mail da john@facebook.mydomain.com con un link a sdfsdf.co.uk.
- Anche se il link sdfsdf.co.uk ha un’alta reputazione e non compare in alcuna black list con riferimento a Facebook, è molto improbabile che esso sia legittimo.
Barracuda Sentinel può cogliere queste anomalie nonostante la buona reputazione del link e impedire che il messaggio raggiunga l’utente finale. Ciò è fondamentale per impedire che qualcuno all’interno dell’organizzazione cada nel tranello.
Formazione a tutti i livelli
Le aziende devono pianificare con attenzione le strategie di protezione da queste e altre minacce, formare tutti gli utenti, valutarli e fare in modo che tutti, nessuno escluso, sposino la causa della sicurezza. Le soluzioni di protezione mail tradizionali non riconoscono queste minacce e non tutti gli utenti cancelleranno la mail. Pertanto, l’implementazione di una strategia olistica di prevenzione dei rischi basata sulle più recenti tecnologie per la sicurezza delle mail, come Barracuda Sentinel, insieme con la formazione regolare degli utenti, ad esempio con l’offerta Phishline di Barracuda, sarà il modo migliore per prepararsi ad affrontare le nuove tattiche che i cybercriminali adotteranno per rubare le informazioni.