Uno speciale strumento di phishing supera la protezione MFA per gli account

27. Agosto 2023
| Non ci sono commenti
Uno speciale strumento di phishing interrompe la protezione MFA per gli account - immagine di Franz Bachinger da Pixabay

Condividi post

I criminali informatici utilizzano sempre più l’autenticazione a più fattori (MFA) per prendere il controllo degli account dei dirigenti. Questo è ciò che hanno scoperto gli esperti di sicurezza IT di Proofpoint. Negli ultimi sei mesi è stato osservato un aumento di oltre il 100% degli incidenti in cui i criminali informatici sono riusciti ad accedere agli account cloud di dirigenti di alto livello di grandi aziende.

Sono interessate più di 100 aziende in tutto il mondo con un totale di oltre 1,5 milioni di dipendenti. I criminali hanno utilizzato EvilProxy per i loro attacchi. Si tratta di uno strumento di phishing con un'architettura proxy inversa che consente agli aggressori di rubare credenziali protette da MFA e cookie di sessione.

Gli aggressori aggirano la protezione MFA

🔎 AitM Transparent Reverse Proxy: ecco come gli aggressori aggirano la protezione MFA: il collegamento di phishing porta a una pagina di accesso falsa sulla quale un utente trasmette il codice MFA corretto (Immagine: Proofpoint)

Gli esperti di Proofpoint valutano questi nuovi attacchi: “Le credenziali dei dipendenti sono molto ricercate dai criminali informatici: possono fornire accesso a informazioni aziendali e account utente preziosi o sensibili. Sebbene le credenziali generalmente offrano una varietà di vettori di attacco, non tutte le credenziali hanno lo stesso valore. La ricerca mostra che i criminali spesso prendono di mira funzioni o dipartimenti specifici. A tal fine devono sviluppare costantemente metodi e tecniche, ad esempio per ribaltare l’autenticazione a più fattori.

Contrariamente alla credenza popolare, l’MFA non è una panacea contro gli attacchi sofisticati basati sul cloud. Una volta entrati, gli autori malintenzionati possono nascondersi all'interno di un'organizzazione senza essere rilevati e lanciare attacchi sofisticati a piacimento. I kit di phishing di bypass MFA standard sono ormai onnipresenti e consentono anche ai criminali non tecnici di lanciare una campagna di phishing e indurre i dipendenti a fornire le credenziali del proprio account.

Abuso del proxy inverso

Il crescente utilizzo dell’MFA ha portato alla proliferazione di kit e strumenti di phishing che aiutano a superare questo livello di sicurezza. I criminali informatici utilizzano sempre più spesso i kit di phishing Adversary-in-the-Middle (AitM) come EvilProxy per rubare credenziali e cookie di sessione in tempo reale.

L'efficacia di EvilProxy come strumento di phishing è ben nota. Tuttavia, gli esperti di Proofpoint hanno identificato una lacuna preoccupante nella consapevolezza dei leader della sicurezza IT riguardo ai rischi e alle potenziali conseguenze, come Business Email Compromise (BEC) e Account Takeover (ATO).

Fase 1: Phishing con EvilProxy

🔎 La catena di attacco in tutti i singoli passaggi (Immagine: Proofpoint).

Dall'inizio di marzo gli specialisti di Proofpoint stanno monitorando una campagna che utilizza EvilProxy per attaccare migliaia di account utente di Microsoft 365. Il volume totale di questa campagna è impressionante: tra marzo e giugno 2023 sono state inviate circa 120.000 e-mail di phishing a centinaia di organizzazioni target in tutto il mondo.

Nella fase di phishing dei loro attacchi i criminali hanno utilizzato tre tecniche principali:

  • Impersonificazione del marchio: i mittenti impersonano servizi e applicazioni affidabili, ad es. B. Soluzioni Concur, DocuSign e Adobe.
  • Blocco della scansione: gli aggressori hanno utilizzato la protezione contro i bot di scansione della sicurezza informatica per rendere difficile l'analisi dei loro siti Web dannosi da parte delle soluzioni di sicurezza.
  • Catena di infezione a più fasi: gli aggressori reindirizzano il traffico tramite reindirizzamenti legittimi liberamente accessibili.

Per nascondere le proprie e-mail agli strumenti di scansione automatica, gli aggressori utilizzano una speciale codifica e-mail e utilizzano siti Web legittimi che sono stati violati per caricare il proprio codice PHP e decrittografare l'indirizzo e-mail di un utente specifico.

Fase 2: compromissione dell'account

L'elenco degli utenti presi di mira include molti target di alto livello, ad es. B. Amministratori delegati, direttori aziendali, dirigenti di livello C e vicepresidenti di società leader. Questi individui sono particolarmente apprezzati dai criminali perché potenzialmente hanno accesso a dati e risorse sensibili. Delle centinaia di utenti compromessi, circa il 39% erano dipendenti del senior management (“livello C”), tra cui il 17% direttori finanziari e il 9% presidenti e amministratori delegati. Gli aggressori mostrano interesse anche nei confronti del management di livello inferiore, concentrando i propri sforzi sui dipendenti con accesso a risorse o informazioni sensibili.

Fase 3: abuso dopo compromesso

Una volta che gli aggressori ottengono l'accesso all'account di una vittima, si stabiliscono nell'ambiente cloud della vittima. In più occasioni, gli aggressori hanno utilizzato un’applicazione nativa di Microsoft 365 per eseguire manipolazioni MFA. Utilizzando “I miei accessi”, gli aggressori sono stati in grado di aggiungere il proprio metodo di autenticazione a più fattori, fornendo accesso permanente agli account utente compromessi. Preferiscono il metodo tramite un'app di autenticazione con messaggio e codice.

Altro su Proofpoint.com

 

A proposito di Proofpoint

Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , , ,