Jeremy Fuchs, ricercatore/analista di sicurezza informatica per Check Point Software, spiega come gli hacker possano disporre, per condurre i loro attacchi phishing, di diversi strumenti come SharePoint.
Abbiamo recentemente scritto di come gli hacker stiano utilizzando servizi legittimi per inviare campagne di phishing, notando che sono stati utilizzati strumenti quali Google, QuickBooks, PayPal e altri ancora. Alla base di questo approccio abbiamo individuato alcune ragioni. La prima delle quali è che gli hacker sono in grado di creare account gratuiti con questi servizi e di inviarli a più obiettivi. Poi possono inserire un link di phishing all’interno di un documento legittimo e inviarlo via e-mail direttamente dal servizio. L’e-mail è legittima: proviene direttamente dal servizio e supera tutti i controlli SPF e altri controlli standard che i servizi di sicurezza verificano.
Come gli hacker utilizzano SharePoint
Gli hacker hanno a disposizione un’infinità di strumenti per condurre questi attacchi. Uno dei modi più recenti è sfruttare il servizio di condivisione file di Microsoft, SharePoint. In questo testo riassuntivo sull’attacco, i ricercatori di Check Point Harmony Email illustreranno come gli hacker utilizzano SharePoint per inviare link di phishing.
L’attacco
In questo attacco, gli hacker utilizzano SharePoint per inviare link di phishing.
Vettore: Posta elettronica
Tipo: BEC 3.0
Tecniche: Ingegneria sociale, raccolta di credenziali
Questo attacco inizia con la ricezione da parte del destinatario di una notifica da parte di SharePoint che segnala la condivisione di un file. Facendo clic sul link, l’utente viene reindirizzato a una pagina SharePoint legittima. Il problema è il collegamento. Il “New CG Drawing” non rimanda a un’altra pagina Microsoft. Piuttosto, rimanda a un sito di phishing che nel frattempo è stato chiuso. Tutti gli altri link sono legittimi.
Le tecniche
L’utilizzo di servizi legittimi per inviare attacchi è l’ultima tendenza del 2023. La chiamiamo BEC 3.0 ed è la prossima evoluzione della Business Email Compromise. Non c’è bisogno di un intenso social engineering, né di un lungo tira e molla. Sono incredibilmente facili da eseguire e altrettanto difficili da fermare. Non ci sono quasi indicatori di malware. Si tratta di un servizio legittimo, inviato in un momento legittimo, da una fonte legittima, con un linguaggio legittimo. È difficile capire se sia falso o meno, per non parlare di capire se si tratti di un link malevolo.
Gli hacker e l’uso di SharePoint
Quindi cosa fare? Bisogna fermarsi al perimetro dell’attacco. La protezione dei link è enorme: emulare le pagine dietro i link per vedere il vero intento. Quindi, anche se l’utente fa click sul link dannoso in SharePoint, è possibile analizzarlo. Anche l’analisi dei siti alla ricerca di indicatori di phishing zero-day è importante, così come l’utilizzo dell’OCR per trovare icone e loghi falsi. Questa forma di attacco non è destinata a scomparire. Anzi, continuerà a crescere. Per combatterlo, è necessario un nuovo approccio.
Best practice: Linee guida e raccomandazioni
Per difendersi da questi attacchi, i professionisti della sicurezza possono fare quanto segue:
implementare una sicurezza che utilizzi l’intelligenza artificiale per esaminare i molteplici indicatori di phishing.
Implementare una protezione completa in grado di scansionare anche documenti e file.
Implementare una solida protezione degli URL in grado di analizzare ed emulare le pagine web.
