A caccia di account su Office 365

I cybercriminali riescono a bypassare i filtri antispam delle e-mail nascondendo documenti su SharePoint Online che contengono un link dannoso.

A partire almeno da quest’estate, vari cybercriminali sconosciuti stanno mandando e-mail agli utenti di Office 365, nel tentativo di accaparrarsi le loro credenziali d’accesso. Secondo i ricercatori che per primi hanno scoperto l’attacco, fino al 10% di tutti gli utenti del servizio potrebbe aver ricevuto un messaggio dannoso.

La campagna PhishPoint

Le e-mail di scam hanno le sembianze di un invito standard a lavorare su SharePoint. Al destinatario viene chiesto, inoltre, di aprire un documento che si trova su OneDrive for Business. L’inganno sta nel fatto che il link presente nell’e-mail fa riferimento per davvero a un documento su OneDrive for Business, ma tale documento è camuffato come richiesta di accesso. Il link al “documento di accesso” in fondo alla pagina reindirizza la vittima a un sito che somiglia in tutto e per tutto alla pagina per collegarsi a Microsoft Office 365.

I workspace in generale vengono considerati più affidabili in confronto ad altre risorse e gli utenti potrebbero avere la convinzione che dall’esterno non sia possibile ottenere l’accesso ai servizi di SharePoint: per questo cliccano sul link senza batter ciglio. E se la vittima digita le proprie credenziali di accesso su questo sito, i proprietari del file se ne impossesseranno.

E con questi dati, i cybercriminali in teoria possono ottenere tutte quelle informazioni che appartengono alla vittima, come l’accesso alla sua casella e-mail, spazio su cloud e informazioni di lavoro confidenziali. Inoltre, protetti dall’account aziendale della vittima, i cybercriminali possono anche appropriarsi di dati sensibili della concorrenza, possono diffondere malware o sfruttare il nome del dipendente per diffondere certi dati con lo scopo di perpetrare attacchi di spear phishing.

Il dettaglio più intelligente è che i filtri all’interno della casella e-mail analizzano il link presente nel messaggio e non trovano nulla di strano, anzi per loro si tratta di un documento dall’eccellente reputazione presente nel workspace. E quando apre il documento, l’utente in effetti si allontana dal raggio d’azione dei filtri di protezione delle e-mail, per cui l’unica ancora di salvezza è rappresentata da una soluzione di sicurezza installata sul computer.

Come proteggere la vostra azienda e il personale

Vi proponiamo qualche consiglio affinché il personale presti maggiore attenzione e, al contempo, migliori la sicurezza in azienda per evitare questo e altri tipi di attacchi:

  • Informate il personale che utilizza Office 365 che c’è in circolazione un attacco di questo tipo. Di solito non capita spesso di ricevere un link a certi documenti da qualcuno senza averne parlato previamente. Per cui, prima di aprire un documento che avete ricevuto senza alcuna spiegazione, accertatevi che non ci sia nulla di sospetto chiedendo direttamente al mittente;
  • Avvertite il vostro personale (e pensatelo anche per voi stessi) che è meglio guardare con occhio critico le e-mail provenienti da indirizzi sconosciuti e, nel caso ci siano dei sospetti, di andare a fondo della questione;
  • Assicuratevi che le postazioni di lavoro di tutti i dipendenti siano protette da una soluzione di sicurezza per endpoint. Questo tipo di protezione è fondamentale per contrastare attacchi phishing di questo tipo.
Consigli