Skip to main content

Microsoft 365: ondata di attacchi phishing, occhio alle mail truffaldine

(Immagine:: Shutterstock/Billion Photos)

Che succede? Gli utenti possessori di account Microsoft 365 hanno iniziato a ricevere email truffa.

Perché è importante? Le email phising reindirizzano i fondi inviati nei conti correnti dei malintenzionati.

Diversi utenti Microsoft 365 hanno ricevuto delle email phishing, che reindirizzano le transazioni finanziarie verso i conti correnti dei malintenzionati.

La notizia arriva dagli esperti IT Security di Mitiga, che hanno anche diffuso i dettagli dell'attacco: si tratta di un semplice metodo che consiste nel compromettere un account aziendale attraverso una mail phishing. In questo modo, i malintenzionati riescono ad accedere ai messaggi di posta elettronica monitorando le discussioni dei messaggi, finché non viene identificata una comunicazione riguardante l'invio di bonifici. 

Poco prima che i fondi vengano inviati dalla vittima, l'autore dell'attacco risponde alla discussione richiedendo di inviare i fondi altrove, per via di un fantomatico blocco al conto corrente motivato da una verifica finanziaria. Motivazioni ovviamente false.

Microsoft 365

(Image credit: Glenn Carstens-Peters / Unsplash)

Stando a quanto condiviso dai ricercatori di Mitiga, l'attacco abuserebbe della firma digitale DocuSign. Le email utilizzate nell'attacco sono realizzate in modo da sembrare autentiche, includendo anche il tasto "Revisiona Documento". Il pulsante, una volta cliccato, reindirizzerà i malcapitati in una pagina phising che simula un accesso a un dominio Windows.

Servendosi di uno strumento denominato "evilginx2", gli autori dell'attacco sono in grado di rubare i cookie della sessione per bypassare l'autenticazione a più fattori (MFA), una pratica che tuttavia non è affatto nuova.

Le aziende hanno iniziato a contrastare questa tipologia di attacco riducendo la durata delle sessioni, un sistema di difesa che però costringe gli utenti ad autenticarsi molto più spesso. Per aggirare anche questo ostacolo, i malintenzionati hanno iniziato a memorizzare le informazioni dei dispositivi MFA aggiunti agli account compromessi, in modo da non inviare alcuna notifica.

I ricercatori tuttavia, hanno fatto notare che le modifiche che riguardano la procedura MFA sugli account utente, possono essere monitorate tramite i log di Azure Active Directory Audit.

Redattore TechRadar
Con il supporto di