Il phishing delle e-Mail è sempre più sofisticato

Hacker hanno dirottato il server di posta della Oxford University per inviare e-mail di fishing dannose alle vittime utilizzando la reputazione dell’università

 

I ricercatori di Check Point Software Technologies  hanno individuato  una sofisticata campagna phishing progettata per raccogliere informazioni aziendali memorizzate negli account di Microsoft Office 365.

Per eludere il rilevamento da parte dei software di sicurezza, la campagna ha fatto leva su nomi sicuri e attendibili per bypassare i filtri. In questo caso, i nomi erano Oxford University, Adobe e Samsung.

Gli hacker hanno dirottato il server di posta elettronica dell’Università di Oxford per inviare e-mail dannose alle vittime.

Le e-mail contenevano link che reindirizzavano a un server Adobe, utilizzato da Samsung in passato, consentendo agli hacker di sfruttare la facciata di un dominio legittimo di Samsung per ingannare con successo le vittime.

Le vittime venivano condotte in un falso percorso con l’obiettivo di spingerle a condividere le credenziali di accesso di Office 365.

Gli attacchi sono stati indirizzati per il 43% verso imprese europee, e il resto verso organizzazioni in Asia e Medio Oriente

La maggior parte delle e-mail proveniva da molteplici indirizzi, appartenenti a sottodomini legittimi di vari dipartimenti dell’Università di Oxford. Le intestazioni delle e-mail mostrano che gli hacker hanno trovato un modo per sfruttare uno dei server SMTP (simple mail transfer protocol) di Oxford, un’applicazione che ha lo scopo di inviare, ricevere e/o inoltrare la posta tra mittenti e destinatari.

L’uso di server SMTP Oxford legittimi ha permesso agli hacker di superare il controllo della reputazione richiesto dalle misure di sicurezza per il dominio del mittente.

“Quella che all’inizio sembrava essere una classica campagna di phishing di Office 365, si è rivelata una strategia degna di nota: utilizzare brand rinomati per eludere i prodotti di sicurezza. Questa è una tecnica “raffinata” per riuscire a far breccia all’interno di una rete aziendale.” spiega David Gubiani, Regional Director SE EMEA Southern“L’accesso alla posta aziendale può consentire agli hacker un accesso illimitato alle operazioni di un’azienda, come ad esempio transazioni, report finanziari, invio di e-mail all’interno dell’azienda da una fonte affidabile, password e persino indirizzi delle risorse cloud di un’azienda. Per portare a termine l’attacco, l’hacker ha dovuto accedere ai server di Samsung e Oxford, il che significa che ha avuto il tempo di capire il loro funzionamento interno, permettendogli di passare inosservato.”.

Se non si trattasse di criminali verrebbe da aggiungere “chapeau!”