Cambiano le tattiche. Mail aziendali sempre più a rischio

Non rallentano gli attacchi alle mail aziendali e i cyber attacchi diventano sempre più sofisticati. I suggerimenti di FyreEye per farvi fronte

 

Il crescente utilizzo delle applicazioni di messaggistica mobile e dei social media,  utilizzo aumentato notevolmente e costantemente, ha modificato  profondamente le modalità con cui comunichiamo nella vita quotidiana, personale o di ufficio.

Nonostante questa tendenza, quando si tratta di lavoro, la posta elettronica resta tuttavia il metodo di comunicazione preferito, con quanto di positivo e negativo  ne deriva.

Il problema è che le minacce alla sicurezza trasmesse tramite email cambiano rapidamente e si materializzano ogni minuto. Vanno da sofisticati e perniciosi attacchi ransomware a tattiche di impersonificazione come BEC (Business Email Compromise), a CEO fraud e campagne di phishing mirate. In pratica, un attacco avvolgente e diversificato come metodo ed obiettivo.

I dati sulla situazione

Ma quale è la situazione? Andando oltre le impressioni, che potrebbero essere errate e soggettive, un’idea la da l’Email Threat Report di FireEye.

Secondo il rapporto gli attacchi di impersonificazione, le CEO fraud e la compromissione delle email aziendali (BEC) hanno visto un costante incremento nel primo trimestre del 2019, con un ulteriore aumento proseguito per tutta la prima metà dell’anno.

In pratica, i cyber criminali impersonificano dirigenti, senior manager e partner della supply chain per indurre i dipendenti ad agire, autorizzando bonifici fraudolenti o fornendo informazioni riservate.

Gli attacchi di impersonificazione, cosa facilmente comprensibile, possono costare caro alle aziende e danneggiare seriamente la loro reputazione.

Nel primo trimestre 2019 rispetto all’ultimo trimestre 2018.sono parimenti aumentati di un 17% gli attacchi di phishing.

I rischi con Office 365

Va poi osservato che l’utilizzo massiccio  di Microsoft Office 365 ha portato i cyber criminali a prendere di mira principalmente Office 365, insieme a OneDrive che fa parte anch’esso della suite Microsoft Office. L’intento è quello di raccogliere le credenziali aziendali per potersi appropriare degli account.

Se il tentativo ha successo i rischi che si corrono, tutti più o meno perniciosi,  sono ad esempio la possibilità da parte dell’attaccante di:

  • Distribuire malware all’interno dell’organizzazione
  • Utilizzare account validi per realizzare spear phishing con privilegi elevati
  • Compromissione delle email aziendali dei dirigenti (BEC)
  • Colpire clienti e partner
  • Effettuare ricognizione dell’ambiente
  • Accedere alle VPN o ad altri servizi cloud per infiltrarsi ulteriormente nell’azienda colpita

Gli aggressori ingannano i destinatari falsificando gli indirizzi email e l’utilizzo del brand, facendosi fornire password e altre informazioni riservate. Office 365, Dropbox, Slack e altri servizi SaaS sono obiettivi popolari per gli hacker, e una volta ottenuto l’accesso a un account, possono insediarsi nella rete per espandere il loro accesso all’interno dell’organizzazione”, ha commentato Gabriele Zanoni, Consulting Systems Engineer di FireEye.

L’importanza della visibilità

Il phishing risulta essere lo strumento più potente che gli aggressori possiedono nel loro arsenale.

Questo perché URL dannosi incorporati nel testo possono essere difficili da rilevare per la maggior parte delle soluzioni di sicurezza email e gli URL possono anche essere “armati” solo dopo essere stati scansionati e trovati “puliti”.

Ad esempio, durante le ore lavorative, un URL presente all’interno di una email è collegato a una pagina web di phishing, ma durante le ore di inattività lo stesso conduce a una pagina web HTML completamente vuota.

In proposito, osserva FireEye, la funzione URL screenshot della soluzione di FireEye illustra l’aspetto degli URL di phishing dannosi per il destinatario. In sostanza, è utile per fornire all’analista, per scopi di reporting e sensibilizzazione degli utenti, una panoramica di come può essere convincente la landing page dove inserire le credenziali.

Possedere la capacità di analizzare le minacce di raccolta delle credenziali, aiuta in pratica i team IT a ridurre i rischi per la security. La funzionalità consente, inoltre, aggiunge l’azienda, di adottare misure di risposta adattiva da correlare con altre tecnologie interne e convalidarle se ci sia stato un impatto sull’organizzazione.

Diventa ad esempio possibile mettere automaticamente in quarantena le email anche qualora identificate retroattivamente, come gli URL di spear phishing armati dopo la consegna delle email.