I cyber criminali hanno seguito il percorso di migrazione delle aziende verso il cloud. La condivisione dei file nel cloud è una pratica sempre più diffusa da dipendenti e consulenti, che rendono il loro lavoro più agile e produttivo, Parallelamente, questa pratica porta con sé rischi di sicurezza, legati alla capacità degli hacker di studiare e adattarsi al modo di lavorare dei dipendenti moderni. Una ricerca di Proofpoint dimostra che gli utenti hanno sette volte più probabilità di cliccare sui link pericolosi di SharePoint Online e OneDrive ospitati su domini Microsoft legittimi.

Gli aggressori sfruttano i contatti degli utenti e studiano i messaggi e-mail per comprendere le relazioni di fiducia e mappare le organizzazioni. Tra le loro attività, compromettono e prendono il controllo degli degli account degli utenti per poi spostarsi lateralmente all’interno di un’organizzazione, rubare dati o comunicare con i partner commerciali o i clienti dell’azienda per richiedere transizioni di denaro fraudolente. La stessa infrastruttura cloud e di posta elettronica viene poi utilizzata per ospitare e diffondere contenuti pericolosi.

Office364 Cloud Sharepoint e Outlook

Nella prima metà del 2020, Proofpoint ha rilevato 5,9 milioni di messaggi e-mail con link di SharePoint Online e OneDrive pericolosi i quali, nonostante costituissero circa l’1% del campione totale di messaggi con URL dannosi, hanno rappresentato più del 13% dei clic effettuati dagli utenti. Gli utenti sono stati quattro volte più propensi a cliccare sui link pericolosi di SharePoint e undici volte più propensi a cliccare sui link fraudolenti di OneDrive

Proofpoint ha anche scoperto che questi messaggi sono stati distribuiti da oltre 5.500 tenant compromessi, che rappresentano un’ampia parte della clientela enterprise di Microsoft. Una forma di cyber attacco così diffusa ed efficace che merita un’analisi più attenta.

Il phishing di SharePoint inizia di solito con la compromissione dell’account cloud. Una volta ottenuto il controllo dell’account, l’attaccante carica un file dannoso, modificando poi le autorizzazioni di condivisione del file in “Pubblico”, in modo che il nuovo link anonimo possa essere condiviso con chiunque. Invia quindi il link via e-mail o lo condivide con i contatti dell’utente o con altri account mirati, anche esterni. Quando i destinatari aprono il file e cliccano sul link pericoloso incorporato, vengono coinvolti in un attacco phishing, che fa ripartire l’intero ciclo. Queste azioni possono portare al furto di dati o alla truffa telematica, come le frodi nella supply chain.