I cybercriminali sanno bene che siamo tutti più propensi ad aprire un’email proveniente da un collega o da un amico piuttosto che da uno sconosciuto: è proprio per questo che che prediligono lanciare attacchi agli amici e colleghi di un utente, usando il suo account email.

Di solito, questi criminali si impossessano di un account utente e inviano false email ai suoi colleghi e contatti.

I messaggi contengono link contraffatti, ad esempio una finta condivisione OneDrive, creata apposta per sottrarre credenziali e acquisire il controllo di altri account.

A questo punto, i criminali inviano altre mail a una decina di colleghi dello stesso dipartimento con l’obiettivo di sottrarre altre credenziali.

Il messaggio appare in sé innocuo: una breve nota per avvisare il destinatario che una certa fattura è stata pagata.

Ma se i colleghi cliccano sul link verranno portati a una pagina di autenticazione in cui verrà loro richiesto di inserire le proprie credenziali.

se proseguono inserendo nome utente e password, i criminali prenderanno il controllo anche del loro account.

In sé, le credenziali di un’organizzazione conosciuta valgono una discreta somma nel dark web.

Possono essere vendute per lanciare nuove campagne di phishing che avranno un’elevata possibilità di successo poiché provengono da un dominio con una buona reputazione.

Le credenziali rubate possono inoltre essere usate per condurre attacchi di spear phishing o frodi.

In questi attacchi, gli hacker spediscono un’email dall’account compromesso con l’obiettivo di spingere il destinatario (in genere dell’area finanza) a effettuare un bonifico a un conto corrente del criminale.

Esistono diverse varianti di email finalizzate al furto di credenziali.

Abbiamo ad esempio osservato tentativi in cui veniva inviata una mail di phishing contenente nel corpo del messaggio il link a una condivisione OneDrive, come in questo esempio.

Una volta rubate le credenziali di un utente, questi attacchi possono montare rapidamente.

E l’aspetto preoccupante della questione è che le normali soluzioni di sicurezza dell’email non sono in grado di identificare questo genere di attacchi proprio perché provengono dall’interno dell’organizzazione.

Ricapitolando, le tecniche usate in questi attacchi sono:

• Impersonation: i criminali fingono di essere colleghi o contatti della vittima per convincerla ad accettare le loro richieste.
• Phishing: l’attacco viene scatenato inviando email agli utenti per impossessarsi delle loro credenziali.

E’ buona norma analizzare attentamente quando arrivano questo tipo di email: il testo è sempre simile e comunque, guardando bene, l’arcano viene svelato.