Documenti Google e il phishing delle credenziali di accesso a Office 365

I phisher utilizzano i servizi online di Google per impossessarsi degli account dei servizi online di Microsoft.

Dall’inizio della pandemia provocata dal COVID-19, molte aziende sono passate a svolgere gran parte del proprio lavoro online e hanno imparato a utilizzare nuovi strumenti di collaborazione. In particolare, assistiamo a un uso molto più esteso di Microsoft Office 365 e, di conseguenza, abbiamo osservato numerosi tentativi di phishing che prendono di mira gli account di questa suite di servizi. I truffatori sono ricorsi a svariati trucchi per indurre gli utenti aziendali a digitare la propria password su siti somiglianti in tutto e per tutto all’originale Microsoft. Ecco un altro stratagemma che sfrutta i servizi Google.

E-mail di phishing

Come la maggior parte delle tecniche di phishing, anche in questo caso tutto inizia con un’e-mail (e un link) come questi:

Una e-mail di phishing e un link a Documenti Google

Il messaggio poco chiaro da un mittente sconosciuto riguarda un qualche tipo di versamento e include un link che ha a che fare con un documento chiamato “Deposit Advice”. Nell’e-mail viene chiesto al destinatario di controllare il tipo di deposito o di confermare la somma. Ora, anche se i sistemi di sicurezza avvertono i destinatari che l’e-mail proviene da un mittente esterno all’azienda, il link “al file” è comunque valido perché si collega a un servizio online legittimo di Google, non a un sito di phishing.

Sito di phishing

Il link porta a un indirizzo che sembra essere la pagina del servizio aziendale di OneDrive. Gli utenti possono anche vedere che il documento è disponibile per qualsiasi utente aziendale (probabilmente i cybercriminali hanno optato per questa visualizzazione nella speranza che qualcuno inoltri il link a un contabile della propria azienda).

Una presentazione in Documenti Google che assomiglia all'interfaccia di OneDrive

Tuttavia, la schermata a cui accedono gli utenti non è una vera pagina web: si tratta di una diapositiva di una presentazione in Documenti Google che si apre automaticamente in modalità di visualizzazione. Il pulsante Apri può nascondere qualsiasi link. In questo caso, il link si collega a una pagina di phishing che si spaccia come pagina di accesso a Office 365.

Finta pagina di accesso

Campanelli d’allarme

Tanto per cominciare, l’e-mail è strana. Non dovreste fidarvi, e tantomeno inoltrare, un messaggio la cui fonte e scopo non sono chiari. In questo caso, per esempio, se non siete in attesa di un versamento, forse non dovreste intraprendere alcuna azione che lo riguardi.

Altre prove:

  • Le comunicazioni da fonti esterne non tendono a collegarsi a documenti interni di un’azienda;
  • I veri documenti finanziari sono configurati affinché possano essere aperti solo da determinate persone, non da chiunque all’interno di un’azienda;
  • Il nome del file nell’e-mail non corrisponde a quello presumibilmente salvato su OneDrive;
  • Documenti Google non ospita le pagine di Microsoft OneDrive (date uno sguardo alla barra degli indirizzi del browser);
  • OneDrive non è Outlook e un pulsante Apri su OneDrive non dovrebbe portare a una pagina di accesso ad Outlook;
  • Le pagine di accesso ad Outlook non risiedono su siti Amazon (un altro indizio sulla barra degli indirizzi del browser da analizzare).

Ogni singola incongruenza dovrebbe attirare la vostra attenzione, e tutte insieme non lasciano spazio a dubbi: le vostre credenziali di Office 365 non sono al sicuro qui.

Come proteggervi

Uno dei punti chiave della sicurezza digitale consiste nel prestare attenzione ai dettagli e nell’essere a conoscenza delle tecniche di phishing. Inoltre, vi consigliamo vivamente di formare il personale riguardo le attuali minacce informatiche (il nostro corso è disponibile online).

Oltre alla formazione del personale, fate uso di strumenti di analisi dei link a livello aziendale in generale e delle workstation.

Consigli