Gli esperti di sicurezza informatica hanno dovuto affrontare un programma di phishing "rivoluzionario"
Un recente attacco informatico è stato soprannominato "rivoluzionario" - parole che ovviamente non vedi tutti i giorni. Ma cosa rende quel particolare attacco di phishing così impressionante?
L'attacco è stato dettagliato e analizzato dal ricercatore di sicurezza Craig Hays in un articolo su Medium. Tutto è iniziato con i soliti avvisi di attacco di phishing che le società di sicurezza ricevono dai clienti. Tuttavia, poiché le prime indagini erano in corso, pochi minuti dopo il primo rapporto, più spie rosse hanno iniziato a lampeggiare mentre un numero crescente di account di posta elettronica della stessa organizzazione risultava essere stato compromesso.
Gli account di posta elettronica compromessi inviavano quantità insolitamente grandi di posta in uscita, il che ha fatto scattare i meccanismi di avviso. Vi si accedeva da luoghi insoliti in tutto il mondo e stavano inviando molte più e-mail del solito. Il problema in cui si è imbattuto il team di sicurezza, tuttavia, era che non c'era una chiara indicazione del vettore di attacco iniziale - non c'era nessuno dei soliti segnali di avvertimento che segnalano un tentativo di phishing riuscito - nessuna posta in arrivo da indirizzi sconosciuti, niente.
Il pericolo della familiarità
Si è scoperto che le e-mail di phishing in effetti non provenivano da indirizzi sospetti o sconosciuti. Venivano inviati come messaggi di risposta a email autentiche e legittime. Il semplice fatto che i collegamenti di phishing dannosi si nascondessero nella posta ricevuta da quelle che sembravano fonti note.
Il meccanismo dietro l'attacco ha coinvolto un bot sofisticato. Una volta rubate le credenziali di un'e-mail sulla rete attaccata, il bot ha ricevuto le informazioni di accesso, ha effettuato l'accesso all'account compromesso e ha iniziato a setacciare la posta in arrivo arrivata negli ultimi giorni. Ogni catena di posta elettronica univoca scoperta in questo modo ha ricevuto una risposta dal bot con un messaggio che conteneva i collegamenti al portale di phishing impostato dai criminali. In particolare, i criminali avevano escogitato una formulazione sufficientemente generica che fare clic sul documento falso allegato non sembrava mai troppo strano o fuori luogo.
Ciò significa che il messaggio di phishing inviato dal bot ha conservato l'indirizzo, l'oggetto originale della catena di conversazione e tutte le comunicazioni passate, rendendolo incredibilmente credibile e affidabile in superficie, molto più di qualsiasi tentativo di phishing inviato da un indirizzo sconosciuto che attiva immediatamente le spie di avvertimento anche per gli utenti inesperti.
Un malware di phishing simile a un worm
Il fatto che il bot abbia agito come un worm, propagandosi attraverso le reti di posta elettronica aziendali scansionando le caselle di posta e inviando la sua credibile esca di phishing è significativo. Questa modalità di propagazione ha reso la minaccia particolarmente difficile da affrontare. Infine, è stato scoperto un pattern negli URL dannosi e l'aggiunta di questo a un filtro automatico ha permesso di frenare e fermare davvero la diffusione del bot di phishing simile a un worm.
Un altro fatto importante che il rapporto evidenzia è che il bot era un po 'troppo desideroso per il proprio bene. Se non ci fossero stati volumi così insolitamente grandi di posta in uscita a far scattare gli allarmi, il bot sarebbe potuto passare inosservato per molto più tempo e causare molti più danni.
L'ultimo aspetto fondamentale di questo incidente è stato che l'autenticazione a più fattori dovrebbe essere utilizzata ogni volta che è disponibile e resa disponibile il prima possibile laddove non sia già un'opzione.
