Attacco Email account compromise (EAC): cos’è, come funziona, consigli per difendersi - Cyber Security 360

SICUREZZA INFORMATICA

Attacco Email account compromise (EAC): cos’è, come funziona, consigli per difendersi

L’Email account compromise è un attacco molto sofisticato che mira a compromettere l’account di posta elettronica di un utente al fine di ottenere l’accesso ad altri account legittimi e compiere attività di spionaggio o di raccolta non autorizzata di informazioni riservate. Ecco come proteggersi

07 Apr 2021
I
Antonio Ieranò

Security and privacy architect

L’Email Account Compromise (EAC) è un attacco altamente sofisticato in cui gli aggressori utilizzano varie tattiche, come password spray, phishing e malware, per compromettere gli account di posta elettronica delle vittime, ottenendo l’accesso a caselle di posta legittime.

L’attacco può essere lo scopo finale dell’avversario (nei casi tipici di spionaggio, ad esempio) ma può essere uno degli step di un attacco più articolato le cui finalità possono essere legate alla raccolta di informazioni o allo sviluppo di un attacco su un terzo soggetto in qualche modo legato all’account compromesso.

L’Email account compromise porta ad esempio a frodi via e-mail, in cui l’attaccante utilizza l’ingegneria sociale per ingannare o minacciare l’obiettivo per, ad esempio, effettuare un pagamento finanziario fraudolento (Business email compromise, BEC) o carpire preziose informazioni al contorno utili allo sviluppo di un attacco.

Nel caso di un Email account compromise, ci sono quasi sempre due vittime: la persona il cui account di posta elettronica è stato compromesso e l’altra persona che cade vittima della richiesta fraudolenta proveniente dall’account di posta compromesso.

Un attacco EAC, quindi, può essere parte di una kill chain più lunga che coinvolge anche entità diverse da quella apparentemente attaccata.

La differenza fondamentale tra un attacco BEC o di phishing “classico” e uno sviluppato via Email account compromise è nel diverso livello di trust che si può effettuare tra la vittima finale dell’attacco ed il vettore intermedio compromesso (solitamente la vittima dell’EAC) che è già sorgente fiduciaria dei flussi di comunicazione in oggetto di attacco e che usa canali legittimi ancorché compromessi.

Email account compromise: il contesto attuale

Si fa un gran parlare, ultimamente, di phishing, BEC e altri attacchi inerenti la posta elettronica. Questi attacchi sono spesso molto efficaci ed effettivi perché colpiscono un target particolarmente vulnerabile: l’utente. Le ragioni di tale evoluzione delle attività di cybercrime sono essenzialmente legate al rendimento di tali attività, molto elevato in termini economici e con bassi rischi di identificazione.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza

Come per ogni attacco rivolto ad un utente, ed in generale alla base delle tecnologie di software engineering, una fase fondamentale è la profilazione del bersaglio.

Profilare un bersaglio, oggi come oggi, significa cercare di recuperare tutte quelle informazioni che servono a definire la modalità comunicativa (chi, dove, cosa, come) e i target corretti con cui si vuole sviluppare tale attacco.

In letteratura e negli articoli della stampa specializzata si fa, sempre più spesso, riferimento a tecniche di tipo OSINT (acronimo delle parole inglesi Open Source INTelligence, l’attività di raccolta di informazioni mediante la consultazione di fonti di pubblico accesso) ma queste sono solo una parte del processo. Un attacco moderno è solo apparentemente “semplice” e utilizza tutte le tecnologie disponibili per ottenere il successo desiderato.

Una mail per sviluppare un attacco è il terminale di un percorso complesso che spesso vede anche lo sviluppo di attacchi indiretti volti a creare una “trust-chain” che consenta lo sviluppo dell’attacco stesso.

Le informazioni pubbliche reperibili via OSINT offrono un contesto sicuramente ricco di dati ed elementi, ma difficilmente entrano nel merito, ad esempio, di una analisi puntuale dei flussi comunicativi tra individui specifici attraverso canali non pubblici, quali la email aziendale. I registri comunicativi variano sensibilmente col variare del canale comunicativo in uso, occorre quindi avere elementi di specificità legati a canali anche al di fuori della visibilità di analisi OSINT.

In altri termini, semplificando la questione, una cosa è sapere cosa fa uno specifico soggetto, dove si trova, con chi ha contatti (dati di “facile” reperibilità ed analisi via OSINT), un’altra è entrare nel merito dello specifico flusso comunicativo di cui si vuole avere informazioni.

Rispondere a domande tipo:

  • Quale registro linguistico viene usato in quel canale comunicativo?
  • Quale frequenza è associata a queste comunicazioni?
  • Che tipo di dati vengono scambiati?
  • Che reazioni ci sono a variazioni nei formati dei dati?
  • Ci sono processi autoritativi coinvolti?

richiede di avere una visibilità diretta sul flusso comunicativo, e quindi intervenire direttamente quando serve introducendo elementi che siano coerenti con quanto analizzato.

Per poter operare in questo senso un approccio che sia limitato a ben note tecniche quali l’email spoofing risulta poco efficiente, se non per indirizzare un attacco direttamente su un bersaglio “generico”. Se lo scopo è più complesso e richiede, ad esempio, la creazione di una catena di fiducia tra l’attaccante e la vittima finale, l’avversario troverà maggiore utilità nell’entrare in accesso diretto ad una casella di posta di un soggetto coinvolto nelle transazioni e comunicazioni.

In pratica un attaccante che voglia poter avere un accesso diretto al bersaglio dell’attacco con un elevato livello di fiducia che consenta validare le proprie richieste, trova estremamente vantaggioso poter comunicare con la vittima attraverso un canale già certificato e di fiducia, invece che crearlo da zero. Questa è l’essenza dell’EAC.

Modalità di sviluppo dell’attacco Email account compromise

Un attacco Email account compromise parte dalla necessità di avere accesso diretto alla posta elettronica di un soggetto. Per poter ottenere questo accesso possono essere usate classiche tecniche di ingegneria sociale (ad esempio corporate credential phishing attacks) o lo sfruttamento di vulnerabilità opportune, si pensi al recente attacco Hafnium che colpisce i server Exchange on-premise esposti direttamente su internet.

Un piccolo inciso: in generale è sempre una pessima idea esporre i server che contengono caselle di posta direttamente su internet, indipendentemente dalla piattaforma. Un vecchio (e poco ascoltato) ABC della sicurezza.

Negli attacchi osservati legati ad Hafnium, ad esempio, l’attore della minaccia ha utilizzato queste vulnerabilità per accedere ai server Exchange locali che abilitavano l’accesso agli account di posta elettronica e consentivano, eventualmente, l’installazione di malware aggiuntivo per facilitare l’accesso a lungo termine agli ambienti delle vittime.

Avere accesso ad una casella di posta (o a più caselle, nel caso specifico) è un primo passo che permette di poter effettuare operazioni di information gathering e movimenti laterali in maniera efficace.

Una volta ottenuto l’accesso alla casella opportuna, l’avversario cercherà di familiarizzare con i formati comunicativi e i flussi informativi che possono essere utili allo sviluppo dell’attacco verso il bersaglio finale.

L’Email account compromise è quindi una forma di attacco che, solitamente, richiede di rimanere sottotraccia per un certo periodo di tempo, non utilizzando quindi modalità operative invasive ma conformandosi al generale flusso comunicativo. Questo tipo di attività può richiedere settimane o mesi di infiltrazione.

Lo sviluppo dell’attacco avviene quindi quando l’attaccante ha potuto definire compiutamente gli step successivi e profilato il bersaglio correttamente.

Non occorre essere degli esperti di informatica per comprendere come gli attacchi di tipo Email account compromise risultino utili per diversi motivi:

  1. consentono di effettuare comunicazioni verso terzi con un altissimo livello di fiducia;
  2. consentono, nel caso di sviluppo di un attacco via email, di evitare i classici indicatori di compromissione di una mail, risultando dal punto di vista tecnico ed oggettivo, provenienti da una sorgente legittima;
  3. forzano i sistemi di protezione della posta a concentrarsi solo sul livello di contenuto del messaggio e non su altri elementi.

Immaginiamo la compromissione, ad esempio, di un account PEC ufficiale, o di un account opportuno di un fornitore o consulente. Conoscendo come si comunica (comunicazione informale o formale, tipo di formato e dato trasmesso e via dicendo) è possibile creare un canale diretto e fortemente credibile ottimo per, ad esempio, operare azioni di ingegneria sociale e preparazione o sviluppo diretto di un attacco.

Se svolto con le opportune cautele l’attacco via EAC consente anche il riutilizzo dell’account compromesso per altri scopi.

Perché l’EAC è un fenomeno in crescita

Le motivazioni sottese allo sviluppo degli attacchi EAC è legato, essenzialmente, alla facilità di gestione e persistenza degli attacchi una volta compromesso l’account e alla difficoltà intrinseca di rilevazione di questi attacchi sia all’interno del perimetro dell’account compromesso sia del reale bersaglio, solitamente terzo, oggetto dello sviluppo delle successive fasi dell’attacco.

Da un punto di vista strettamente economico quindi, in termini di economia criminale, un attacco EAC ha un ROI elevatissimo, in parte per i bassi costi di implementazione ed in parte per la relativa facilità di sviluppare attacchi estremamente lucrosi.

Un recente rapporto dell’FBI esemplifica la questione con numeri molto semplici:

  • le perdite finanziarie legate a BEC sono circa il 66% più elevate di quelle legate ad attacchi ransomware;
  • gli attacchi BEC (di cui l’EAC è uno dei principali strumenti di sviluppo dell’attacco) cubano circa il 44% delle perdite finanziarie legate al cyber crime;
  • il volume di denaro è attorno ai 4,2 miliardi di dollari.

Tali numeri soli chiariscono perché l’Email account compromise è un fenomeno in forte crescita.

Perché l’EAC è difficile da scoprire

Uno dei problemi principali di attacchi di tipo EAC è che sono estremamente difficili da scoprire. Le ragioni di questa difficoltà sono legate a diversi aspetti dell’attacco.

Dal momento della compromissione allo sviluppo di un attacco che faccia leva su quell’account compromesso possono passare anche diversi mesi, un lasso di tempo che rende difficili le correlazioni anche di sistemi automatici.

Inoltre, spesso la compromissione è usata per colpire un terzo elemento esterno, e lato risorse compromesse vi sono pochi elementi di allerta.

Il terzo che è oggetto dell’attacco indirizzato da un account compromesso, per altro, vede l’attacco provenire da una sorgente assolutamente legittima e di fiducia. Dal momento che l’analisi del corpo del messaggio è l’unico strumento efficace per determinare tali attacchi, sistemi di analisi sintattica e semantica sviluppati con tecnologie di machine learning sono nei fatti l’unico strumento “tecnologico” di difesa diretta.

Operazioni quali leggere la corrispondenza o mandare email possono essere facilmente nascoste ad un occhio non attento, e la maggior parte degli utenti che hanno avuto il loro account compromesso, non hanno avuto sentore della cosa sino all’attacco compiutamente sviluppato (per altro, nella maggior parte dei casi, con la notifica proveniente dalla vittima terza parte).

L’avere accesso e controllo di una casella di posta, per altro, consente di poter utilizzare metodi e strumenti leciti per sviluppare l’attacco in maniera da essere largamente non riconoscibile se non ad attacco avvenuto.

Non pensiamo, per altro, che l’attaccante sia un improvvisato attore, qui stiamo parlando di risorse altamente preparate con una struttura alle spalle competente, il cybercrime ha una rilevanza economica elevatissima e muove professionalità e metodologie ad alta professionalità, nascondere le proprie azioni è il livello minimo utilizzato in qualsiasi kill-chain.

Cosa fare e come proteggersi dall’Email account compromise

La protezione dagli EAC e dagli attacchi sviluppati poi da un account compromesso richiede un approccio multidisciplinare che va al di là della semplice implementazione di questa o quella tecnologia.

In prima istanza visto che le compromissioni avvengono di solito via social engineering o sfruttamento di vulnerabilità del servizio di posta è sempre opportuno proteggere il proprio email server con un security email gateway che offra da un lato una protezione efficace rispetto ad attacchi di tipo social engineering (dal credential phishing al BEC) e dall’altro una riduzione della superficie di attacco verso il server di posta contente le caselle.

È altresì fondamentale istruire i propri utenti a riconoscere gli elementi base di un attacco, attraverso piattaforme o attività di security awareness, con particolare attenzione anche alle email provenienti da controparti con cui si lavora regolarmente.

Dato che EAC richiede la compromissione di un account è opportuno correlare le attività di logon associate a utenze connesse (o, ad esempio, token autorizzati di app) con potenziali rischi di compromissione delle credenziali eo vulnerabilità che espongano il sistema a tali rischi. Si noti, da questo punto di vista, che indicatori di compromissione possono essere legati ad eventi non direttamente correlabili alla attività della posta elettronica, ancora di più si osservi come la sicurezza delle strutture informatiche dipenda da un approccio olistico che preveda la correlazione di elementi solo apparentemente disgiunti tra di loro.

Fondamentale è poi mettere in piedi processi di controllo ed autorizzazione che intervengano quando vi siano richieste di cambiamento di procedure standard provenienti da terzi (ma anche richieste interne) che si sviluppino su canali alternativi a quello usato per la richiesta. Insomma, la sicurezza è legata intrinsecamente ai nostri processi, le nostre reazioni e la nostra comprensione del fenomeno.

Ad esempio, una telefonata di controllo a fronte una richiesta di cambio IBAN è una buona procedura, richiedere la verifica via email decisamente no (se l’account cui si richiede il controllo fosse stato compromesso una richiesta di verifica sarebbe poco utile).

Conclusioni

Questi fenomeni non sono destinati a chiudersi in un breve lasso di tempo, la comprensione del threat landcape corrente e la consapevolezza della propria vulnerabilità, legata anche ai limiti tecnologici, è indispensabile per minimizzare i rischi e le perdite economiche.

Si dice sempre che il problema non è se saremo attaccati, ma quando, in quest’ottica prepararsi per minimizzare il danno è necessario.

Un atteggiamento meno prudente porta a considerare non se l’attacco avrà successo, ma semplicemente quando e con quali costi.

Vale poi sempre la pena ricordare che nel nostro ordinamento vale la responsabilità oggettiva, se a causa di un EAC noi provochiamo nocumento a terzi, siamo direttamente responsabili. Sta a noi provare che si è fatto il possibile per evitare la compromissione e che la compromissione ci sia stata.

Occorre quindi considerare le nostre relazioni con partner, fornitori, e clienti per mettere in piedi quei controlli che siano efficaci al fine di gestire eventuali anomalie che potrebbero essere oggetto dell’attacco, poco importa se siamo in mezzo o alla fine della catena dell’attacco.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5