I ricercatori di Armorblox hanno scoperto e-mail riportanti fatture inviate ad almeno 20.000 caselle di posta che pretendono di condividere informazioni su un pagamento tramite trasferimento elettronico di fondi (EFT).
Il team di ricerca sulle minacce di Armorblox ha osservato il tentativo di attacco e-mail “a tema fattura” fatto per colpire uno degli ambienti dei clienti. L’e-mail era intitolata “TRASFERIMENTO AVVISO DI PAGAMENTO PER FATTURA” e informava le vittime di un pagamento EFT. L’attacco e-mail ha utilizzato varie tecniche per superare i tradizionali filtri di sicurezza e-mail e superare i test oculari di ignari utenti finali:
- Passa l’autenticazione utilizzando SendGrid: l’email è stata inviata da un account Gmail personale tramite SendGrid. Ciò ha portato l’e-mail a superare correttamente i controlli di autenticazione come SPF, DKIM e DMARC.
- Ingegneria sociale: il titolo e il contenuto dell’email si riferiscono a pagamenti finanziari, incluso un collegamento per visualizzare una fattura. La persona media tende ad agire rapidamente in materia finanziaria, anche se uno sguardo più attento potrebbe rivelare incongruenze nell’email.
- Rappresentazione del marchio: l’ultima pagina di phishing falsifica un portale di Office 365 e il marchio Microsoft. Anche la richiesta delle credenziali dell’account Microsoft per visualizzare un documento di fattura supera il “test logico” nella mente della maggior parte delle vittime, poiché ricevono ogni giorno documenti, fogli e presentazioni dai colleghi che condividono lo stesso flusso di lavoro.
- Ospitato su Google Firebase: la fattura finale è ospitata su Google Firebase; la legittimità intrinseca di questo dominio consente all’email di superare i filtri di sicurezza creati per bloccare file e collegamenti dannosi noti.
- Reindirizzamenti dei collegamenti: il flusso di attacco è lungo e offusca la vera pagina di phishing finale, un’altra tecnica comune per ingannare le tecnologie di sicurezza che tentano di seguire i collegamenti alle loro destinazioni e verificare la presenza di false pagine di accesso.
Kevin Dunne, presidente di Greenlight, un fornitore di soluzioni integrate di gestione del rischio con sede a Flemington, nel New Jersey, afferma: “Gli attacchi di phishing e ingegneria sociale stanno diventando più pericolosi, poiché sempre più dati sensibili si spostano nel cloud. Le aziende non possono più fare affidamento sul loro perimetro tradizionale per impedire ai malintenzionati di raggiungere dati critici nelle loro applicazioni aziendali. In molti casi, identità e il controllo degli accessi sono gli unici strumenti disponibili per limitare l’esposizione e gestire il rischio di attacchi di phishing. L’applicazione dell’autenticazione a due fattori (2FA) e la rotazione della password sono una prevenzione efficace in molti casi, tuttavia, non sono efficaci al 100% in tutti i casi. Accesso meno privilegiato , insieme a un monitoraggio completo dell’attività e del comportamento degli utenti, sono fondamentali per garantire che il danno sia limitato nel caso in cui i malintenzionati accedano ai tuoi sistemi”.
Per risultati dettagliati, visita https://www.armorblox.com/blog/microsoft-office-phishing-attack-hosted-on-google-firebase/