Gli attacchi di phishing oltre la posta elettronica

“Truffa informatica effettuata invitando il destinatario a fornire dati riservati motivando tale richiesta con ragioni di ordine tecnico” oppure “Opera di truffatori che imitano origini affidabili al fine di facilitare l’accesso a dati sensibili”. Le definizioni di phishing sono molte e non riguardano solo la posta elettronica. Riceviamo continuamente e-mail, SMS o messaggi WhatsApp sospetti e basta un attimo di distrazione per rimanere fregati anche se siamo esperti. Analizzeremo i tipi di attacchi, le tattiche utilizzate, le contromisure che Microsoft365 mette in campo e le buone abitudini che ognuno di noi deve avere in ogni attimo della propria giornata.

I tipi e le logiche di attacco

Email phishing con o senza malware: E’ la forma più comune di attacco dove i malintenzionati fingono di essere provider di posta, corrieri, banche oppure colleghi al fine di richiedere una risposta (e continuare l’attacco) oppure cliccare in un link per carpire credenziali di accesso o per installare software dannoso. Talvolta quest’ultimo è allegato alla mail sotto forma di eseguibile o macro all’interno di un file office o pdf.
Spear phishing e Whaling: Questo tipo di attacco prende di mira l’individuo specifico sfruttando le informazioni raccolte in precedenza tramite altri attacchi sociali, tecnici o tramite ricerche su internet. Talvolta la vittima o il finto mittente è un dirigente d’azienda (whealing, pesce grosso, caccia alle balene). L’attaccante include nella comunicazione parte di email scritte dall’utente stesso o da interlocutori reali oppure fa riferimento ad eventi o persone realmente conosciute dalla vittima. L’attaccante reperisce queste informazioni su internet oppure tramite attacchi automatizzati andati a buon fine su interlocutori esterni all’azienda. Data la specificità degli attacchi capita che questi aggirino con grande efficacia le contromisure tecniche aziendali.

Smishing e Vishing: Quanto gli attacchi arrivano come un SMS, messaggio WhatsApp oppure come telefonata vera e propria rientriamo in queste categorie. Dato che i messaggi vengono inviati su un canale tradizionale sembrano più personali ed attendibili. Gli attaccanti carpiscono le nostre informazioni personali da internet o tramite attacchi andati a buon fine su amici, colleghi o parenti. Quanto un malcapitato clicca nei link viene installato nel telefono un malware sotto forma di App per rubare altri contatti di potenziali vittime e per reperire informazioni utili ad altri tipi di attacchi. In Italia non ci sono standard che aiutino gli operatori telefonici a bloccare chiamate o messaggi provenienti dall’estero con numeri italiani contraffatti, STIR/SHAKEN è una suite recente di protocolli statunitense (2018-2020) che si deve ancora diffondere nel mondo.

Percezione del bisogno e falsa attendibilità: Le persone vengono ingannate perchè pensano di dover agire con ugenza aprendo un allegato, perchè attendono un pacco, oppure per evitare di non poter più accedere al conto in banca. Creare una falsa percezione del bisogno usando come finto mittente una figura apicale della propria azienda funziona molto e viene usata sempre più spesso dagli attaccanti.

Manipolazione delle emozioni: I truffatori usano tattiche psicologiche per convincere le loro vittime ad agire senza fermarsi a pensare. Dopo aver creato fiducia imitando un’origine familiare e generato un falso senso di urgenza, gli attaccanti sfruttano emozioni come paura e ansia per ottenere ciò che vogliono. Le persone tendono a prendere decisioni affrettate quando viene detto loro che perderanno denaro, finiranno in guai legali o non avranno più accesso a una risorsa di cui hanno estremamente bisogno.

Le contromisure in Microsoft365 per gli amministratori

Elenchiamo le funzionalità principali per proteggere gli utenti dal phishing con l’ambiente di posta Exchange Online in Microsoft 365.

Con la componente “Defender for Office365” troviamo:

  • Safe Links: Il sistema sovrascrive tutti i link contenuti nelle email o nelle chat di Teams al fine di precontrollare ogni singolo click. Se il link è sicuro si verrà reindirizzati correttamente, se il link non è sicuro ci sarà il blocco della navigazione e l’avviso all’utente e all’amministratore. Potete accorgevi se è presente questo settaggio aprendo l’outlook e andando sopra ad un link senza cliccarlo, in basso a sinistra vedete l’url sovrascritto che comincia con …safelinks.protection.outlook.com.
  • Safe Attachments: Microsoft365 elegue l’analisi degli allegati di posta in transito e di tutti i files presenti in sharepoint online e onedrive quindi in Teams. In presenza di malware ne blocca il passaggio, il caricamento o lo scaricamento.
  • Anti-impersonation: All’interno dell’antiphishing policy di default compare un’estensione dove si inseriscono le persone apicali dell’azienda ed i collaboratori esterni critici come, ad esempio, il commercialista o l’avvocato. Il sistema controlla i nomi e le email di queste persone identificando gli attacchi provenienti da email diverse con lo stesso nome visualizzato.
  • Attack Simulator: E’ un strumento per istruire e mettere alla prova gli utenti aziendali simulando attacchi finti e controllando chi “abbocca”.

La protezione dell’identità degli utenti si garantisce principalmente con la configurazione della Multi-Factor Authetication che permette agli utenti di ricevere una notifica nel proprio smartphone se qualcuno tenta di autenticarsi col proprio account.

Una componente molto utile che viene spesso dimenticata è l’Add-In di Outlook chiamato “Report Message” che, distribuito centralmente dall’interfaccia di amministrazione di Microsoft365 negli Outlook, permette agli utenti di segnalare le email malevoli. Questa azione “educa” il cloud di Microsoft ed avvisa contemporaneamente gli amministratori per una pronta analisi dell’incidente.

Da non trascurare una perfetta configurazione delle fonti di spedizioni attendibili aziendali tramite il protocolli SPF, DKIM e DMARC con l’aggiunta di una Transport Rule in Exchange Online che inibisca completamente la consegna dei messaggi malevoli che hanno la policy DMARC del dominio mittente a “reject”. Quest’ultima si rende necessaria negli ambienti di posta Microsoft 365 in quanto, nativamente, la policy DMARC a “reject” viene trattata come “quarantine”.

Alcune aziende aggiungono una Transport Rule in Exchange Online per avvisare l’utente interno che la mail proviene dall’esterno tramite un tag nell’oggetto oppure un messaggio in testa al corpo della mail. Si tratta di una soluzione invadente per gli utenti che si vedono modificato il messaggio in ingresso ma rende certamente molto chiaro l’attacco quando un messaggio arriva da internet e porta come nome del mittente il proprio amministratore delegato.

Le buone abitudini per tutti

Ognuno di noi deve porre sempre la giusta attenzione nelle comunicazioni che riceve controllando questi dettagli:
– L’indirizzo e-mail del mittente; dato che il nome visualizzato potrebbe essere falso.
– La presenza di errori di ortografia; perchè nelle e-mail di phishing gestite da bot multilingua è comune trovare errori grammaticali.
– La formula del saluto inziale o finale: in quanto, leggere che un tuo amico o collega si prensenta con “Gentile cliente” o chiude con “Cordiali Saluti” è molto sospetto.
– Il link vero che sta “sotto” a quello visualizzato nella mail; passando sopra il mouse si può controllarne l’originalità (compreso l’uso del Safe Links citato in precedenza).
– Frasi che fanno leva sulla paura o mettono ansia e fretta; come “Il tuo account è stato sospeso”, “partecipa subito ad una riunione importante”.
In generale, se indecisi, è bene non cliccare e chiedere sempre chiarimenti al mittente tramite un altro canale di comunicazione (telefonata o chat).

Conclusioni

La delinquenza si sta spostando dalla strada alla rete internet con una velocità ed un’efficienza impressionante, il conflitto russo-ucraino ha smosso gli equilibri e l’incremento degli attacchi informatici sono una conseguenza di questo. Dato che siamo tutti minacciati in quanto potenziali vittime e non esiste la tecnologia sicura e certa che copre ogni ambito comunicativo della nostra vita è fondamentale porre attenzione alle email, agli SMS ed ai messaggi su WhatsApp come ogni altra App di comunicazione. Se poi il vostro amministratore di rete segue i consigli di questo articolo saprà aiutarvi efficacemente nella sfida che ci attende nei prossimi anni.

Link utili:

Articolo riadattato partendo dal post originale Microsoft.
Le funzionalità e le licenze di Defender for Office365.
La distribuzione aziendale dell’add-in Outlook “Report Message”.
La protezione del brand e e della posta elettronica aziendale con il protocollo DMARC.