Office 365: nuovi attacchi di phishing sfruttano falsi messaggi vocali

Le recenti campagne di phishing contro Office 365 hanno combinato un uso intelligente di messaggi vocali falsi, messaggi di posta elettronica e kit di phishing standardizzati per colpire vittime di alto valore.

office 365

Gli utenti di Office 365 sono un obiettivo costante per i phisher perché i loro account possono dare accesso a dati e sistemi aziendali di alto valore. Gli hacker hanno ora intensificato il loro modus operandi con nuovi attacchi che utilizzano file audio mascherati da messaggi vocali per indurre gli utenti a rivelare le loro password. La nuova campagna è stata osservata nelle ultime settimane dai ricercatori dell’azienda di sicurezza McAfee e hanno peso di mire organizzazioni di molti settori tra cui servizi, finanza, IT, retail, assicurazioni, manifattura, infrastrutture, energia, governo, istruzione, sanità e trasporti.

“Sono stati presi di mira una vasta gamma di dipendenti, dalla dirigenza media al personale di livello esecutivo”, hanno affermato i ricercatori McAfee in un report pubblicato nei giorni scorsi. “Riteniamo che questa sia una campagna di phishing e whaling”. Il whaling è un tipo di phishing che si rivolge a dirigenti senior, manager di reparto e altri obiettivi di alto valore all’interno delle organizzazioni utilizzando esche a cui è probabile siano interessati.

Come funziona la campagna di phishing contro Office 365

Le email non autorizzate contengono il logo di Microsoft e informano i destinatari che hanno perso una chiamata da un determinato numero di telefono. I messaggi includono informazioni come ID chiamante, data, durata della chiamata, nome dell’organizzazione e un numero di riferimento.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Le e-mail hanno allegati file HTML che, se aperti, reindirizzano gli utenti a un sito di phishing in cui si legge che Microsoft chiede i dati di log-in per accedere alla loro casella vocale. Durante questo passaggio, la pagina riproduce una breve registrazione audio di qualcuno che parla per indurre le vittime a credere che stiano ascoltando l’inizio di un messaggio vocale legittimo.

“Ciò che distingue questa campagna di phishing dalle altre è il fatto che incorpora l’audio per creare un senso di urgenza che, a sua volta, spinge le vittime ad accedere al collegamento malevolo”, hanno detto i ricercatori. “Questo dà all’attaccante il sopravvento sul versante social engineering di questa campagna”.

lateral phishing

Una volta riprodotta la registrazione, gli utenti vengono reindirizzati a un altro sito non autorizzato che imita la pagina di accesso di Office 365 e in cui l’indirizzo di posta elettronica viene creato automaticamente per aumentare la credibilità dell’attacco. Se le vittime inseriscono le loro password, ricevono un messaggio di accesso corretto e vengono reindirizzate al sito office.com legittimo.

Kit phishing commerciali

I ricercatori di McAfee hanno inoltre scoperto che gli autori di questi attacchi utilizzano tre diversi kit di phishing progettati appositamente per tale scopo. Uno di questi è persino chiamato Voicemail Scmpage 2019. L’ampia disponibilità di questi kit nei forum dei cybercriminali riduce la barriera d’ingresso per molti aspiranti phisher. Poiché per lanciare questi attacchi sono necessarie poche conoscenze in materia, è probabile che tali kit diventeranno ancora più comuni.

Impatto e mitigazione

Alcuni degli indicatori di questi tentativi di phishing sono allegati e-mail con il formato GG-Mese-AAAA.wav.html, Voce-GG-Mese AAAAAwav.htm o Audio_Telephone_MessageDD-Mese-AAAA.wav.html. I domini utilizzati per ospitare le pagine di posta vocale fasulle sembrano avere nomi generati casualmente, ma un elenco di questi è incluso nel report di McAfee.

Le credenziali compromesse di Office 365 sono preziose per gli hacker perché un singolo account Microsoft ha in genere accesso a una vasta gamma di servizi e dati, a seconda dell’abbonamento Office dell’azienda. Gli account compromessi possono anche essere utilizzati per impersonare dirigenti senior dell’azienda e indurre altri dipendenti della stessa organizzazione a compiere azioni che comportano perdite finanziarie per l’azienda o ulteriori compromessi. L’FBI stima che le truffe di compromissione della posta elettronica aziendale (BEC) siano costate alle organizzazioni di tutto il mondo oltre 26 miliardi di dollari negli ultimi tre anni.

Gli amministratori IT sono incoraggiati ad attivare l’autenticazione a due fattori (2FA) per gli account Office 365 delle loro organizzazioni. Sono possibili attacchi di phishing che bypassano 2FA, ma richiedono più risorse e un’infrastruttura speciale per essere portati a termine. La formazione dei dipendenti su come identificare le email di phishing ed evitare di fare clic su collegamenti sospetti o l’apertura di allegati da mittenti sconosciuti dovrebbe inoltre essere la prima linea di difesa per le organizzazioni attente alla sicurezza.