Quando Gli Hacker Sfruttano Brand Familiari. C’È Anche Chi Si Finge Microsoft Teams

Cybersecurity

A cura di Mariana Pereira, Director of Email Security Products di Darktrace

Con il passaggio al lavoro da remoto, il numero di utenti giornalieri attivi di Microsoft Teams è cresciuto esponenzialmente passando dai 20 milioni dello scorso anno ai 75 milioni di oggi. Trend di crescita simili si riscontrano anche in piattaforme concorrenti come Slack, Zoom e Google Meet. È ormai evidente come questo genere di applicazioni SaaS stiano diventando punti fermi nella nostra vita lavorativa, di conseguenza possiamo aspettarci che i cybercriminali sfruttino sempre più brand divenuti a tutti familiari e la reputazione di fiducia che si sono costruiti sul mercato per scagliare campagne di attacco via email.

A riprova di ciò, nel mese di giugno l’Intelligenza Artificiale di Darktrace ha sventato un tentativo di attacco molto ben strutturato contro una multinazionale di grandi dimensioni. Antigena Email ha identificato 48 messaggi di posta elettronica in entrata che simulavano una notifica di Microsoft Teams ma che in realtà provenivano da un mittente sconosciuto con un dominio raro. Le email contenevano un link nascosto a un sito di archiviazione di Google, celato dietro il testo di accettazione della condivisione (“Accept Collaboration”).

I link di archiviazione dei file sono utilizzati spesso negli attacchi perché la magigor parte delle volte sono in grado di bypassare i filtri antispam. Anche se i link di per sé non sono considerati dannosi possono indirizzare a file con al loro interno malware o altri contenuti malevoli. È molto probabile che un attacco come questo sfugga ai tradizionali strumenti di sicurezza email perché il punto di partenza è la segnalazione di un fatto semplicemente insolito. Antigena Email, al contrario, ha rilevato che la pagina ospitava al suo interno una pagina di accesso Microsoft. Sebbene la scansione dell’URL non contrassegni queste pagine come dannose, come dicevo, è veramente inusuale che un dominio Google ospiti una pagina di login di Office.

Riconoscendo questo come un tentativo di simulazione di un servizio interno per la diffusione di link di phishing, Antigena Email in modalità attiva è in grado di bloccare il link in questione e fermare i messaggi dalla posta in arrivo. Lo screenshot sottostante mostra l’elenco completo dei modelli che sono stati violati e le rispettive azioni intraprese dall’IA.

Nessuna delle 48 email dannose è stata rilevata dagli strumenti di sicurezza già presenti in Microsoft: la multinazionale adottava Antigena in modalità passiva e purtroppo 12 email sono state aperte dal destinatario. Un altro campanello di allarme per la cyber AI è stato notare come le email fossero state inviate ai destinatari in ordine alfabetico, suggerendo che l’aggressore potesse essere entrato in possesso di una rubrica aziendale e che probabilmente avrebbe continuato indisturbato l’attacco – prendendo di mira un numero sempre maggiore di dipendenti – se Antigena Email non avesse identificato l’attività come sospetta e avesse immediatamente allertato il team di sicurezza.

Purtroppo, questa non è la prima e nemmeno l’ultima volta che gli aggressori fanno leva su strumenti di collaborazione SaaS più diffusi e che godono maggiormente della nostra fiducia per cercare di coinvolgere gli utenti e convincerli a cliccare su un link dannoso. La cyber AI può rilevare questi tentativi, riconoscendo quando un brand di fiducia viene utilizzato per dissimulare le minacce, e questo è il motivo per cui centinaia di organizzazioni oggi si affidano a questa tecnologia per realizzare una strategia di rilevamento e di risposta completa contro attacchi sempre più sofisticati.