Office 365 è così diffuso (oltre 100 milioni di utenti attivi al mese) da essere diventato quasi parte della nostra identità, in particolare all’interno della rete aziendale con la circolazione di email interne. Quando si riceve una mail dall’indirizzo di un collega, ci si fida e si è praticamente certi che la mail sia legittima, ma sfortunatamente non è sempre così.

Office 365 è però diventato anche un terreno di coltura per attacchi altamente personalizzati e Barracuda ha analizzato a fondo una delle minacce più gravi e recenti per la suite di produttività di Microsoft dal nome Office 365 Account Compromise, con la quale i malintenzionati cercano di impadronirsi delle credenziali di accesso e, una volta entrati, lanciare l’attacco direttamente dall’interno della rete.

Ma come funziona esattamente nome Office 365 Account Compromise? Se esaminate lo screenshot sottostante, potete notare che il messaggio non ha nulla di strano. Sembra provenire da Microsoft che avvisa l’utente di riattivare il proprio account Office 365. La mail spiega come l’account sia stato sospeso (che non è un’azione normale su un account Office 365) e, come per ogni email sospetta, l’utente dovrebbe avvisare il dipartimento IT non appena riceve un messaggio di questo tenore.

Office 365 Account Compromise

Se però segue le istruzioni riportate nel messaggio, l’utente clicca su un link che lo porta su una landing page fasulla, ma ben disegnata, dove viene invitato a digitare le proprie credenziali. A questo punto, il gioco è fatto. Il criminale conosce le credenziali e conquista l’accesso all’account.

Nello scenario più comune il criminale imposta il forward dei messaggi per potere osservare i modelli di comunicazione dell’utente con interlocutori sia interni sia esterni all’organizzazione. Tale conoscenza può essere sfruttata come leva per attacchi futuri, come il ransomware o altre minacce avanzate.

In un altro comune scenario il criminale utilizza l’account compromesso per inviare messaggi ad altri utenti della stessa organizzazione, per raccogliere altri account o informazioni sensibili. Questo approccio in genere ha successo sul breve periodo poiché tipicamente la risposta o l’azione dell’utente è quasi immediata.

Per evitare di rimanere vittime di questa minaccia, Barracuda propone alcune soluzioni.

  • Formazione degli utenti. Gli utenti devono essere regolarmente formati e valutati per renderli consapevoli delle diverse tipologie di attacchi mirati. L’uso di attacchi simulati è di gran lunga la tecnica più efficace.
  • Autenticazione multifattore. Una forma di autenticazione multifattore è già presente in Office 365, ma è possibile acquistare l’autenticazione multifattore Azure che offre anche altre funzionalità.