Ricerca Proofpoint sulle minacce che arrivano dalle applicazioni di condivisione cloud, viste dagli hacker come un’opportunità da sfruttare. I cyber criminali hanno seguito il percorso di migrazione delle aziende verso il cloud. La condivisione dei file nel cloud è una pratica sempre più diffusa da dipendenti e consulenti per rendere il lavoro più agile e produttivo.
Parallelamente, questa pratica porta con sé rischi di sicurezza, legati alla capacità degli hacker di studiare e adattarsi al modo di lavorare deidipendenti moderni .
Applicazioni condivisione cloud e hacker
La ricerca di Proofpoint dimostra infatti che gli utenti hanno sette volte più probabilità di cliccare sui link pericolosi di SharePoint Online e OneDrive ospitati su domini Microsoft legittimi. Gli aggressori sfruttano i contatti degli utenti e studiano i messaggi e-mail per comprendere le relazioni di fiducia e mappare le organizzazioni.
Gli hacker compromettono e prendono il controllo degli account degli utenti. Questo gli consente di spostarsi lateralmente all’interno di un’organizzazione per rubare dati o comunicare con i partner commerciali o i clienti dell’azienda per richiedere transizioni di denaro fraudolente. La stessa infrastruttura cloud e di posta elettronica viene poi utilizzata per ospitare e diffondere contenuti pericolosi.
Attenti SharePoint/OneDrive
Nella prima metà del 2020, Proofpoint ha rilevato 5,9 milioni di messaggi e-mail con link di SharePoint Online e OneDrive pericolosi. Nonostante costituissero circa l’1% del campione totale di messaggi con URL dannosi, i messaggi hanno rappresentato più del 13% dei clic effettuati dagli utenti.
Riguardo agli utenti, sono stati 4 volte più propensi a cliccare sui link pericolosi di SharePoint e 11 volte più propensi a cliccare sui link fraudolenti di OneDrive. Proofpoint ha anche scoperto che questi messaggi sono stati distribuiti da oltre 5.500 tenant compromessi, che rappresentano un’ampia parte della clientela enterprise di Microsoft. Una forma di cyber attacco così diffusa ed efficace che merita un’analisi più attenta.
Applicazioni condivisione cloud e hacker
Il phishing di SharePoint inizia di solito con la compromissione dell’account cloud. Una volta ottenuto il controllo dell’account, l’attaccante carica un file dannoso, modificando poi le autorizzazioni di condivisione del file in “Pubblico”. Così il nuovo link anonimo può essere condiviso con chiunque.
Invia quindi il link via e-mail o lo condivide con i contatti dell’utente o con altri account mirati, anche esterni. Quando i destinatari aprono il file e cliccano sul link pericoloso incorporato, vengono coinvolti in un attacco phishing, che fa ripartire l’intero ciclo. Queste azioni possono portare al furto di dati o alla truffa telematica, come le frodi nella supply chain.