Più utenti Microsoft Teams, più attacchi
Sembra che l’appetibilità per gli hacker aumenti di pari passo con il numero di utenti coinvolti. Dopo Zoom, infatti, anche Microsoft finisce nel mirino. Il 1 maggio la società di sicurezza informatica Abnormal Security ha scoperto un nuovo attacco phishing rivolto a Microsoft Teams, la piattaforma per lo smart working della casa di Redmond.
Un attacco classico ma molto efficace
Tra le 15.000 e le 50.000 email – simili in tutto e per tutto alle classiche notifiche via email di Microsoft Teams – sono state inviate a collaboratori di organizzazioni che usano questa piattaforma. Dopo essere riusciti a ottenere un certo numero di indirizzi di posta collegati a utenti di Microsoft Teams, i truffatori hanno inviato le email di phishing. Nessuna vulnerabilità nell’applicazione: gli utenti, cliccando sul link nella mail ansiosi di leggere la notifica, inseriscono le credenziali del proprio account e…vengono ingannati: i loro dati vengono inviati al server dei truffatori invece che a “mamma Microsoft”.
I pericoli per gli utenti di Microsoft Teams
Con l’accesso a Microsoft Teams, i detrattori potrebbero prendere il controllo dell’account e delle informazioni che contiene, ma non solo. Infatti, Teams è collegato alla suite Microsoft 365 (ex Office 365), quindi l’accesso potrebbe estendersi alle applicazioni del pacchetto utilizzate dalla vittima.
Due forme di phishing
L’attacco si presenta in due forme, con due diverse email e due diverse landing page. L’efficacia è dovuta proprio al rigore con cui queste sono state ricreate: sono visualmente identiche alle originali e anche gli indirizzi email assomigliano ai tipici indirizzi di Microsoft. In una delle due forme di attacco, ad esempio, l’indirizzo email proviene dal dominio “@sharepoint-irs”. “SharePoint”, per chi non lo sapesse, è il CMS di Microsoft, con cui, però, l’indirizzo incriminato non ha nulla a che fare.
Inoltre, è stata utilizzata un’intricata serie di reindirizzamenti – “rimbalzi” da un URL ad un altro – per bypassare i link detector dei client email. In una delle due forme si veniva rimandati a YouTube e poi ad una copia fasulla – ma molto ben fatta – della pagina di accesso all’account Microsoft. Nell’altra, invece, la vittima veniva reindirizzata a un documento che invitava ad accedere a Microsoft Teams. Cliccando su “Open Microsoft Teams” si veniva indirizzati al falso accesso dell’account Microsoft.
-
- Email della forma 1 dell’attacco | Photo: abnormalsecurity.com
-
- Reindirizzamento a YouTube della forma 1 dell’attacco | Photo: abnormalsecurity.com
-
- Email della forma 2 dell’attacco | Photo: abnormalsecurity.com
-
- Landing page della forma 2 dell’attacco | Photo: abnormalsecurity.com
-
- Copia della pagina d’accesso all’account Microsoft | Photo: abnormalsecurity.com
Un plauso ai creatori, dunque, che comunque si sono impegnati, sebbene per scopi “malvagi”. È un notevole passo avanti rispetto alle centinaia di mail improbabili – per non dire trash – che finiscono nella cartella SPAM e che riuscirebbero a fregare solo l’anziano che ritira ancora la pensione in contanti alle poste. Forse anche gli hacker iniziano ad avere più fiducia nelle capacità informatiche medie delle persone.
Cosa rende questo attacco una “trappola perfetta”?
Oltre ad essere molto convincente, questa frode presenta altre criticità. Innanzitutto, è stata lanciata con un ottimo tempismo. In un mondo che ha imparato ormai a fare i conti con lo smart working, molti aprono una mail del genere quasi senza pensarci. Poi, simulando il contesto di un’urgenza lavorativa, induce a farsi aprire in fretta, senza badare tanto ai dettagli. Per ultimo, riteniamo che gli account Microsoft patiscano logout dal browser più frequenti rispetto ad altri, come ad esempio gli account Google. Questo potrebbe indurre le persone ad insospettirsi di meno nel dover reinserire i propri dati.
Non è la prima campagna di phishing che colpisce Teams, un’altra era partita il 14 aprile. E, dato il successo dell’applicazione, potrebbe anche non essere l’ultima.
Cosa fare per proteggersi?
Il primo passo dopo essersi accorti dell’attacco è avvertire l’organizzazione per cui si usa Teams e cambiare la password il prima possibile. In aggiunta, è possibile segnalare il fenomeno alla Polizia Postale.
Ma dato che “prevenire è meglio che curare”, si può migliorare la sicurezza del proprio account Teams chiedendo alla propria organizzazione di attivare l’autenticazione a due fattori. In questo modo, per accedere non basterà la password ma servirà una conferma da un altro dispositivo. Se quest’ultimo non è in possesso dei criminali, c’è poco che possano fare.
Ad ogni modo, come regola generale, conviene pensare due volte prima di inserire i propri dati – che siano dati personali, coordinate bancarie o password – e scrutare in cerca di indizi che facciano storcere il naso: nel caso del phishing, si tratta proprio degli indirizzi email e dei link a cui si viene reindirizzati. Spesso non si presta attenzione ad essi, ma uno sguardo più critico può rivelare come certe mail siano meno affidabili di un Pandino in autostrada.
FONTE: Abnormal Security, HDBlog.it, TomsHardware.it
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord, Steam e Twitch.
Se siete interessati ad anime e manga seguiteci sui nostri social dedicati: Facebook e sul canale Youtube!
