Phishing: i cybercriminali alla caccia di account di Office 365
L’attuale impennata dello smart working ha suscitato l’interesse dei cybercriminali nei confronti di Office 365, una delle piattaforme di collaborazione su cloud più comuni. Il piano di per sé è semplice: i cybercriminali attirano un dipendente dell’azienda su una falsa pagina di login di Office 365 e lo convincono a inserire le proprie credenziali di accesso. In altre parole, stiamo parlando di phishing. Le tecniche grazie alle quali i cybercriminali cercano di ottenere nomi utente e password sono diverse, ma Kaspersky, in un articolo di approfondimento, ha individuato le quattro più comuni.
Falsi messaggi da Teams
Di norma, quando i cybercriminali inviano un messaggio di posta elettronica che sembra essere una notifica di Microsoft Teams sottolineano l’urgenza di una risposta, sperando che il destinatario non dedichi nemmeno un minuto a notare eventuali irregolarità. Quindi, di norma il messaggio di posta riguarda una scadenza urgente, ad esempio, che porta la vittima a cliccare sul pulsante “Rispondi su Teams” e a finire su una falsa pagina di login.
Se gli hacker facessero bene i compiti, nella notifica apparirebbe il nome e la foto di un vero collega della vittima, il che farebbe pensare a un attacco BEC interno ma, più comunemente, si tratta di una persona generica. La speranza dei criminali informatici è che la preoccupazione della vittima nei confronti di un problema così urgente e inatteso la spinga a cliccare comunque e a collegarsi al fantomatico Teams.
Notifica di mancato recapito
Un altro falso problema che provoca un senso di urgenza nel destinatario è un presunto errore di consegna, ad esempio a causa di un errore di autenticazione. In questo caso la vittima avrebbe dovuto cliccare per ricevere un messaggio, ma i cybercriminali sono stati così pigri che non hanno nemmeno creato una pagina di login a Office 365 plausibile.
Naturalmente, la prossima volta potrebbero creare un falso più convincente, e in tal caso il destinatario dovrebbe ricorrere ad altri mezzi per identificare il phishing. Vale la pena di notare che i mittenti, e non i destinatari, ricevono gli avvisi di mancato recapito, se il server fosse in grado di identificare il destinatario previsto, allora il messaggio sarebbe inviato correttamente!
Casella di posta elettronica piena
Avvertire una vittima di probabili gravi conseguenze per via della notifica della casella di posta elettronica piena (in questo caso, la sgradevole prospettiva di un messaggio non recapitato) è semplicemente un altro motivo che spinge i dipendenti a farsi prendere dal panico e a cadere in errore. L’utente può scegliere se cancellare o scaricare i messaggi in questione. La maggior parte delle persone opteranno per quest’ultima opzione e abboccheranno all’amo, ovvero il pulsante “Clicca qui”.
Da notare che, in questo caso, i cybercriminali ci hanno messo un po’ più di impegno, aggiungendo nell’е-mail un paragrafo sulla responsabilità sociale dell’azienda in occasione della pandemia da coronavirus, anche se non si sono preoccupati di scrivere in un inglese commerciale anche solo minimamente convincente. Anche in questo caso, presi dal panico, può capitare che gli utenti trascurino i segnali di una comunicazione non appropriata a un certo contesto.
Notifica di scadenza della password
Modificare la password è una procedura abbastanza comune. La vostra policy aziendale dovrebbe richiederla regolarmente e il team di sicurezza potrebbe richiederla come precauzione contro una possibile fuga di dati. Naturalmente, quando si imposta una nuova password, è necessario fornire quella vecchia. Pertanto, le richieste di cambio di password sono un punto fermo delle e-mail di phishing. Anche se per qualche motivo non doveste far caso al linguaggio impreciso dell’е-mail, la pagina di login proprio non ha nulla a che vedere con l’originale.
Come proteggersi
Ricordate che ottenere le credenziali di accesso di un account di questo tipo non solo offre la possibilità di inviare е-mail dall’indirizzo di un dipendente, ma anche di ottenere l’accesso a tutte le informazioni accumulate nella casella di posta. Ogni pagina che richiede le credenziali dell’account di lavoro merita di essere esaminata, anche se (o soprattutto se) c’è qualcuno che vi fa pressione affinché sbrighiate la faccenda velocemente. Ecco due consigli essenziali, sarà tutto ciò di cui avrete bisogno:
- Controllate sempre l’indirizzo di ogni pagina che richiede le vostre credenziali di accesso. A seconda del servizio, le pagine di login legittime possono includere microsoftonline.com, outlook.office.com, onmicrosoft.com, o il nome di dominio della vostra azienda
- Implementate una soluzione di sicurezza robusta a livello aziendale che blocchi le е-mail di phishing