Covid-19, il phishing prende di mira i dipendenti che tornano in ufficio: la nuova minaccia - Cyber Security 360

L'ANALISI TECNICA

Covid-19, il phishing prende di mira i dipendenti che tornano in ufficio: la nuova minaccia

I criminali informatici stanno prendendo di mira con campagne di spear phishing le aziende i cui dipendenti tornano in ufficio dopo mesi di remote working imposti dalla pandemia di Covid-19. Ecco come riconoscere la minaccia e i consigli per difendersi dalle campagne mirate di spear phishing

03 Giu 2021
P
Pierluigi Paganini

Cyber Security Analyst, CEO CYBHORUS

Con il progredire della campagna di vaccinazioni e la concomitante riduzione del numero di infezioni da Covid-19 nel Paese, molte aziende hanno richiesto ai propri dipendenti di rientrare in presenza: ovviamente, il crimine informatico, da sempre attento alle dinamiche aziendali, è pronto a sfruttare questa nuova opportunità prendendo di mira proprio i dipendenti di queste imprese con campagne mirate di spear phishing.

Phishing a tema Covid-19: riconoscere la nuova minaccia

I ricercatori del Cofense Phishing Defense Center (PDC) hanno scoperto una campagna di phishing condotta per rubare le credenziali di accesso dei dipendenti delle aziende.

I messaggi si propongono come comunicazioni inviate da dirigenti delle aziende prese di mira, in particolare dal loro Chief Information Officer (CIO), e pretendono di fornire informazioni sulle modifiche ad alcuni processi aziendali che l’azienda sta intraprendendo in relazione alla pandemia di Covid-19.

“Il corpo dell’e-mail sembra essere stato inviato da una fonte interna all’azienda, riporta il logo dell’azienda nell’intestazione, oltre che apparire come inviata in CIO. Fingendo di essere un dirigente, l’attaccante ha inviato una falsa newsletter in cui spiega le nuove misure adottare e le modifiche alle operazioni commerciali che l’azienda sta implementando in risposta alla pandemia”, si legge nell’analisi pubblicata da Cofense.

Le e-mail sono state concepite per rubare credenziali aziendali e personali, il corpo delle stesse include un collegamento a una falsa pagina di Microsoft SharePoint con due documenti che si prefiggono di fornire informazioni sulle nuove procedure adottate dall’azienda in concomitanza del rientro dei suoi dipendenti.

Facendo clic sui documenti, le vittime visualizzano una form di accesso che richiede loro di fornire le credenziali aziendali per accedere ai file.

Diversamente da molteplici campagne individuate in passato, il link nella mail non punta direttamente alla finta pagina di login, bensì ad una coppia di file apparentemente interni all’azienda per rendere più credibile il messaggio ed aumentare la possibilità di successo della campagna.

“Invece di reindirizzare semplicemente ad una pagina di login, questo passaggio supplementare aggiunge più profondità all’attacco e dà l’impressione che si tratti di documenti reali interni all’azienda”, continua l’analisi. “Questa modalità è rara: utilizzando file che sembrano appartenere all’azienda e non reindirizzando direttamente le vittime ad un’altra pagina di accesso, è più probabile che l’utente fornisca le proprie credenziali per visualizzare gli aggiornamenti”.

Una variante dell’attacco: a caccia di credenziali

Gli esperti hanno osservato anche altre varianti dell’attacco descritto in cui i criminali informatici hanno utilizzato false credenziali convalidate. Le prime volte che le informazioni di accesso sono inserite dalle vittime nel pannello di accesso verrà loro mostrato un messaggio di errore del tipo “Il tuo account o la tua password non sono corretti”.

Successivamente, la vittima verrà reindirizzata a una pagina Microsoft autentica nel tentativo di indurla a pensare di aver eseguito correttamente l’accesso ai file.

Questa tecnica induce le vittime a credere di aver fornito le informazioni di accesso corrette e di avere quindi accesso ai documenti memorizzati sul cloud storage OneDrive.

Sfortunatamente, gli attaccanti riescono in questo modo ad ottenere le informazioni del proprietario dell’account.

“Mentre il mondo inizia a tornare alla normalità e vengono stabiliti nuovi standard, gli attaccanti continuano ad utilizzare tutti gli strumenti a loro disposizione per rubare informazioni a chiunque prendano di mira. Questa campagna è un altro esempio dei tipi di attacchi progettati per rubare le credenziali delle vittime ed eludere i gateway di posta elettronica sicuri”, conclude l’analisi.

Phishing a tema Covid-19: come difendersi

La metodica descritta è solo una delle numerose osservate negli ultimi mesi, i criminali informatici hanno nel tempo adattato le proprie tecniche per massimizzare la possibilità di successo delle campagne.

Sono state sfruttate come esche le politiche assistenziali definite dei governi, gli incentivi forniti ai lavoratori, le prenotazioni per le campagne vaccinali e molto altro, e non vi è dubbio che nei prossimi mesi vedremo nuove campagne concepite seguendo l’evoluzione dei contesti sanitari, politici ed economici dei vari paesi.

Non ci resta che restare vigili e condividere informazioni relative ad ogni campagna individuata per evitare di restarne vittima.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4