Attacco e-mail AI: in 5 minuti si arriva alla compromissione del sistema

I cybercriminali usano strumenti AI facilmente reperibili e tecniche elusive per aggirare le difese tradizionali.

attacchi ransomware compromissione

Barracuda ha dimostrato che un solo attacco e-mail AI, in 5 minuti, ha causato un furto d’identità, un’elusione dell’autenticazione a più fattori, un accesso permanente e una compromissione di dispositivi. I dati emersi da un’analisi di Barracuda Research dimostrano infatti con quale rapidità gli attacchi via e-mail possano degenerare in incidenti di sicurezza.

La dinamica della simulazione di un attacco e-mail AI

La simulazione ha preso il via con l’utilizzo della GenAI da parte del Red Team per creare un’e-mail di phishing mirata, contenente una richiesta urgente di revisione di un documento. Il messaggio è stato recapitato al destinatario, che lo ha aperto dopo circa 21 minuti, cliccando sul link incorporato che rimandava a una falsa pagina di login Microsoft. Nei successivi 60 secondi, l’utente ha inserito le proprie credenziali di accesso. In questa fase, gli aggressori hanno reindirizzato la legittima procedura di login per intercettare in tempo reale i dati scambiati tra la vittima e Microsoft. Ricevuta la richiesta di autenticazione a più fattori da parte di Microsoft, l’utente ha impiegato un ulteriore minuto per completare il passaggio. Permettendo così agli aggressori di sottrarre anche il cookie di autenticazione e i dettagli della sessione: compromissione compiuta!

Compromissione – La tecnica del ClickFix per una ‘finta’ verifica

Dopo soli 2 minuti dal primo clic sul link dannoso, i cyber aggressori hanno utilizzato il cookie di sessione clonato per accedere direttamente alla casella di posta della vittima. Questo ha consentito loro di leggere e inviare e-mail a nome dell’utente, accedere a SharePoint e OneDrive, configurare regole di ricezione personalizzate per occultare le proprie attività e autorizzare applicazioni OAuth malevole. Garantendosi in questo modo l’accesso al sistema anche dopo la scadenza della sessione stessa. Per consolidare la propria presenza, gli aggressori hanno poi impiegato la tecnica ClickFix, richiedendo alla vittima un finto passaggio di verifica aggiuntivo. L’utente ha così copiato un codice negli appunti del computer, attivando inconsapevolmente uno script dannoso utilizzato per creare un punto d’appoggio stabile nella rete.

Cosa potrebbe accadere dopo l’accesso iniziale ottenuto con una singola e-mail

In questo modo, entro cinque minuti dal primo clic, gli aggressori hanno ottenuto un controllo continuo del sistema. Con la facoltà di rientrare in qualsiasi momento, estendere i propri privilegi e lanciare payload aggiuntivi. Se la simulazione fosse proseguita, l’attacco avrebbe potuto progredire rapidamente verso il furto di dati sensibili, la crittografia o la distruzione dei sistemi tramite ransomware. Uno scenario che evidenzia la gravità del rischio legato all’accesso iniziale ottenuto tramite una singola e-mail.

Le strategie di protezione contro la compromissione

Nessuna misura di sicurezza è in grado, da sola, di bloccare i moderni attacchi e-mail multifase guidati dall’AI. Per questo motivo, le organizzazioni devono adottare una protezione stratificata e continua che sia in grado di coprire l’intero ciclo di vita della minaccia. Le tecniche di difesa fondamentali includono innanzitutto l’implementazione di un’autenticazione a più fattori resistente al phishing. Ad esempio tramite l’uso di chiavi di sicurezza, combinata con sistemi avanzati di protezione della posta elettronica dotati di funzionalità di rilevamento in tempo reale. A queste basi è importante affiancare anche protocolli robusti di autenticazione delle e-mail. Come il DMARC, e programmi di formazione continua e sensibilizzazione degli utenti.

Più attenzione all’accesso a strumenti ad alto rischio

Inoltre, un tassello decisivo è rappresentato dalla limitazione dell’accesso agli strumenti ad alto rischio. Riducendo così la superficie di attacco ed evitando che i cybercriminali possano sfruttare applicativi legittimi per colpire l’organizzazione. I team di sicurezza devono infine monitorare eventuali anomalie nei parametri di accesso (come posizione geografica, dispositivo e orario), comportamenti sospetti successivi al login. Oltre a segnali di controllo permanente del sistema, come l’introduzione di nuove regole di ricezione delle e-mail o di attività pianificate.