I ricercatori di Check Point, il fornitore di soluzioni di cybersecurity, hanno scoperto una campagna phishing progettata per raccogliere informazioni aziendali memorizzate negli account di Microsoft Office 365. Scopriamo meglio di cosa si tratta.
Rubare dati memorizzati: ecco il phishing con Office 365
Per eludere il rilevamento da parte dei software di sicurezza, la campagna ha utilizzato nomi sicuri e attendibili per bypassare i filtri. I nomi utilizzati sono stati quelli di Oxford University, Adobe e Samsung. In questo modo gli hacker hanno dirottato il server di posta elettronica dell’Università di Oxford per inviare e-mail dannose alle vittime.
Le e-mail contenevano un link collegato ad un server Adobe, utilizzato da Samsung in passato, che permetteva agli hacker di ingannare con successo le vittime. Le vittime venivano condotte in un falso percorso con l’obiettivo di spingerle a condividere le credenziali di accesso di Office 365.
La vicenda è iniziata ad aprile 2020. I ricercatori hanno iniziato ad analizzare le e-mail inviate alle vittime dal titolo “Office 365 Voice Mail”. Le e-mail riportavano all’utente che un messaggio vocale era in attesa nella loro casella “In arrivo”.
Questo spingeva le vittime a cliccare su un pulsante che le avrebbe portate al loro account Office 365 per intraprendere ulteriori azioni. Una volta cliccato il pulsante, gli utenti sono stati raggirati e reindirizzati verso una pagina di phishing.
Di seguito vi riportiamo un esempio di e-mail falsa.
Come difendersi?
La maggior parte delle e-mail proveniva da indirizzi generati appartenenti a vari dipartimenti dell’Università di Oxford. Le intestazioni delle e-mail mostrano che gli hacker hanno trovato un modo per sfruttare uno dei server SMTP (simple mail transfer protocol) di Oxford. Si tratta di un’applicazione con lo scopo di inviare, ricevere e/o inoltrare la posta in uscita tra mittenti e destinatari.
L’uso di server SMTP Oxford legittimi ha permesso agli hacker di superare il controllo della reputazione richiesto dalle misure di sicurezza per il dominio del mittente.
Di seguito vi riportiamo alcuni consigli per proteggervi da eventuali phishing.
- Utilizzare password diverse per le applicazioni cloud. Questa suddivisione protegge le informazioni quando si è esposti.
- Utilizzare soluzioni di sicurezza per cloud e e-mail. Si consiglia di usare soluzioni di sicurezza specifiche per rimuovere le minacce penetrare via e-mail e proteggere l’infrastruttura in-cloud.
- Non inserire le credenziali quando non ci si aspetta di farlo, su un sito che normalmente non le richiede. Spesso si tratta di una truffa sotto mentite spoglie.