Inviare spam non fa bene al vostro business

I cybercriminali prendono il controllo degli account e-mail aziendali per inviar spam in grado di superare i filtri.

Non molto tempo fa, ci ha contattato una grande azienda brasiliana per chiederci aiuto riguardo un incidente. Il problema importante era che i cybercriminali avevano iniziato a mandare spam utilizzando gli indirizzi e-mail dei dipendenti. Non fingevano di essere i mittenti legittimi, come spesso accade, ma mandavano le e-mail direttamente attraverso il server di posta dell’azienda. Dopo un’accurata indagine, siamo stati in grado di definire il modus operandi preciso adottato dai cybercriminali.

Come funzionava l’attacco

Innanzitutto, i cybercriminali inviavano e-mail di phishing ai dipendenti dell’azienda, in cui venivano avvisati del fatto che la casella di posta sarebbe stata bloccata per un determinato motivo e si pregava di cliccare su un link presente nel messaggio per aggiornare le informazioni dell’account. Il link, ovviamente, reindirizzava a un formulario di phishing dove si raccoglievano le credenziali di accesso al sistema.

Traduzione: Gentile utente, la sua casella di posta verrà cancellata perché ci sono troppe e-mail non lette. Per evitare che ciò accada, clicchi qui per aggiornare l’account. Ci scusiamo per l’inconveniente. L’amministratore di sistema.

Le vittime compilavano il formulario, dando così il controllo totale del proprio account e-mail agli scammer, che poi iniziavano a inviare spam agli account compromessi, senza aver bisogno di alterare le intestazioni tecniche dei messaggi, perché legittime. Lo spam proveniva da server con una certa reputazione e per questo non destavano sospetti agli occhi dei filtri antispam.

Dopo aver preso il controllo delle caselle di posta, i cybercriminali passavano all’ondata successiva di e-mail. In questo caso, i cybercriminali inviavano messaggi di spam di “truffa alla nigeriana” in varie lingue (anche se, in teoria, lo spam poteva essere di qualsiasi tipo, da offerte di prodotti farmaceutici sul mercato nero a malware).

Esempio di messaggio di “spam alla nigeriana”

L’indagine ha rivelato che l’azienda brasiliana che ci aveva contattato non era l’unica vittima. Lo stesso messaggio era stato inviate moltissime volte agli indirizzi e-mail di numerose organizzazioni no profit e governative, il che conferiva maggiore autorevolezza ai messaggi.

Gravi conseguenze

Il fatto che i cybercriminali utilizzino i vostri server per mandare offerte ingannevoli non è una bella cosa. E se i cybercriminali decidono di passare a diffondere malware, potrebbe essere il colpo di grazia alla reputazione della vostra azienda.

Ma c’è anche di peggio. Non è così insolito che le credenziali di accesso della casella di posta di un dipendente siano le stesse di username e password di dominio, il che vuol dire che rubare queste credenziali potrebbe dare accesso ad altri servizi aziendali.

Inoltre, dopo aver ottenuto l’accesso alla casella di posta di un dipendente di un’azienda rispettabile, i cybercriminali potrebbero provare a elaborare un attacco mirato contro colleghi, soci o ufficiali governativi. Si tratta di attacchi difficili da portare a termine perché sono necessarie capacità di ingegneria sociale di prim’ordine per convincere la vittima a eseguire tutte le operazioni dovute, ma i danni potrebbero essere estremamente ingenti.

Questo tipo di truffe vengono incluse nella categoria BEC (Business E-mail Compromise) e possono essere un bel grattacapo per le aziende colpite. In sostanza, il falso mittente prova a ottenere via e-mail i dati degli account, documenti finanziari e altre informazioni confidenziali. I messaggi BEC sono molto difficili da individuare perché provengono da un vero indirizzo con intestazioni corrette e un contenuto rilevante per il destinatario.

Come proteggere azienda e dipendenti

Per proteggere la reputazione della vostra azienda ed evitare di diventare spammer a vostra insaputa, vi consigliamo di utilizzare una soluzione di sicurezza affidabile, capace di individuare i tentativi di phishing sul server di posta e sulla workstation dei dipendenti. Ricordiamo anche che è molto importante aggiornare periodicamente i database antispam euristici e i componenti antispam.

Consigli