La compromissione delle email aziendali: le nuove tattiche

by Thomas De Vido

L’utilizzo delle applicazioni di messaggistica mobile e dei social media è aumentato notevolmente nell’ultimo decennio, ridisegnando completamente le modalità con cui comunichiamo nella vita di ogni giorno. Nonostante questa tendenza, quando si tratta di lavoro, la posta elettronica resta il metodo di comunicazione preferito. Il suo utilizzo continuerà a cambiare e di conseguenza anche i cyber criminali adegueranno le loro tecniche ai cambiamenti del panorama in continua evoluzione.
Le minacce trasmesse tramite email cambiano e si materializzano ogni minuto, da sofisticati attacchi ransomware a tattiche di impersonificazione come BEC (Business Email Compromise), a CEO fraud e campagne di phishing mirate.

I criminali informatici oggi continuano a trovare metodi creativi per invogliare i destinatari delle email ad aprire questi messaggi sempre più dannosi. Questi, se aperti, possono esporli a contenuti che possono causare significative perdite finanziarie e/o di dati.

Secondo l’Email Threat Report di FireEye, gli attacchi di impersonificazione, le CEO fraud e la compromissione delle email aziendali (BEC), hanno visto un costante incremento nel primo trimestre del 2019, con un ulteriore aumento proseguito per tutta la prima metà dell’anno. I cyber criminali impersonificano dirigenti, senior manager e partner della supply chain per indurre i dipendenti ad agire, autorizzando bonifici fraudolenti o fornendo informazioni riservate. Gli attacchi di impersonificazione possono costare alle aziende miliardi di dollari e danneggiare seriamente la loro reputazione.

Gli attacchi di impersonificazione aumentano e allo stesso modo il report indica un incremento del 17% degli attacchi di phishing nel primo trimestre 2019 rispetto all’ultimo trimestre 2018.

L’utilizzo prevalente di Microsoft Office 365 ha portato i cyber criminali a prendere di mira principalmente Office 365, insieme a OneDrive che fa parte anch’esso della suite Microsoft Office. Spesso l’intento è quello di raccogliere le credenziali aziendali per potersi appropriare degli account.

Se un account di un utente finale viene carpito, esso è spesso utilizzato per attività dannose, che così hanno come mittente un indirizzo email legittimo e affidabile per scopi quali:

  • Distribuire malware all’interno dell’organizzazione
  • Utilizzare account validi per realizzare spear phishing con privilegi elevati
  • Compromissione delle email aziendali dei dirigenti (BEC)
  • Colpire clienti e partner
  • Effettuare ricognizione dell’ambiente
  • Accedere alle VPN o ad altri servizi cloud per infiltrarsi ulteriormente nell’azienda colpita

“Per un utente inconsapevole, un’email di phishing può spesso apparire come un messaggio legittimo proveniente dal team di supporto aziendale che chiede, ad esempio, di riconfermare i dati del proprio account”, dichiara Gabriele Zanoni, Consulting Systems Engineer di FireEye. “Gli aggressori ingannano i destinatari falsificando gli indirizzi email e l’utilizzo del brand, facendosi fornire password e altre informazioni riservate. Office 365, Dropbox, Slack e altri servizi SaaS sono obiettivi popolari per gli hacker, e una volta ottenuto l’accesso a un account, possono insediarsi nella rete per espandere il loro accesso all’interno dell’organizzazione”.

Le tattiche utilizzate e l’importanza di avere visibilità

I professionisti del settore IT sanno quanto sia importante un’efficace sicurezza delle email e il phishing è lo strumento più potente che gli aggressori possiedono nel loro arsenale. URL dannosi incorporati nel testo possono essere difficili da rilevare per la maggior parte delle soluzioni di sicurezza email e gli URL possono anche essere “armati” solo dopo essere stati scansionati e trovati “puliti”. Ad esempio, durante le ore lavorative, un URL presente all’interno di una email è collegato a una pagina web di phishing, ma durante le ore di inattività lo stesso conduce a una pagina web HTML completamente vuota.

FireEye Email Security Server Edition, offre agli amministratori IT la possibilità di ispezionare visivamente, in maniera istantanea e in ogni momento, le pagine web a cui gli URL incorporati sono collegati. Questo servizio integra varie firme, analisi e plugin per l’apprendimento automatico, così da rilevare attacchi di email phishing basati su URL.

FireEye PhishVision utilizza tecniche di deep learning e compila e confronta screenshot di brand affidabili e di uso comune con le pagine web e di login a cui fanno riferimento gli URL contenuti in una email. L’utilizzo di questa metodologia consente a FireEye di identificare con successo attacchi di phishing, ottenendo anche una certa consapevolezza del brand colpito.

La funzione URL screenshot della soluzione di FireEye illustra l’aspetto degli URL di phishing dannosi per il destinatario. Questa funzionalità è utile per fornire all’analista, per scopi di reporting e sensibilizzazione degli utenti, una panoramica di come può essere convincente la landing page dove inserire le credenziali.

Possedere la capacità di analizzare le minacce di raccolta delle credenziali, aiuta i team IT a ridurre i rischi. Questa funzionalità consente, inoltre, di adottare misure di risposta adattiva da correlare con altre tecnologie interne e convalidarle se ci sia stato un impatto sull’organizzazione. Riducendo i tempi di latenza tra il rilevamento e la risposta, i responsabili della sicurezza limitano i danni e prevengono le minacce future.

FireEye, inoltre, fornisce una prioritizzazione completa degli avvisi per aiutare gli amministratori IT a comprenderne la gravità, oltre all’intelligence sulle tattiche, le tecniche, le procedure e le analisi forensi approfondite, come l’endpoint, il comportamento della rete e la metodologia globale di attacco.

Utilizzando tutte queste informazioni, FireEye può automatizzare le risposte e mettere automaticamente in quarantena le email anche qualora identificate retroattivamente, come gli URL di spear phishing armati dopo la consegna delle email. Dall’alert alla correzione, il tempo medio di FireEye per identificare un avviso è di circa 4 minuti, contro le 2 ore di altre soluzioni. Questa accelerazione della risposta non solo aumenta l’efficienza delle operazioni di sicurezza, ma riduce anche l’impatto degli incidenti di sicurezza per l’organizzazione.

L’utilizzo della posta elettronica sta cambiando e le tattiche adattive dei cyber criminali rappresentano una grande minaccia per le organizzazioni. È imperativo che i responsabili IT forniscano la massima sicurezza delle email per ridurre una violazione.

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)