Microsoft individua un aumento di campagne BEC che sfruttano servizi cloud

Negli ultimi anni il numero di campagne di business email compromise (BEC) è cresciuto notevolmente, anche grazie a un aumento dell’abuso di servizi cloud ampiamente usati come Dropbox, SharePoint e OneDrive.

A lanciare l’allarme è Microsoft: in un recente post sul suo blog, la compagnia ha evidenziato che la diffusione di questi servizi collaborativi e di file sharing nelle organizzazioni rende gli utenti aziendali un obiettivo molto interessante per gli attaccanti. Abusando della fiducia che gli utenti ripongono in questi servizi e della facilità di utilizzo, i cybercriminali riescono a condividere file e link malevoli, eludendo i tradizionali controlli di sicurezza.

Microsoft spiega che l’abuso di questi servizi cloud per condurre campagne BEC è diventato un trend soprattutto per la relativa facilità di svolgimento degli attacchi. Da metà aprile 2024, la compagnia ha individuato in particolare due tattiche più usate dagli attaccanti per superare i meccanismi di difesa: una consiste nel condividere via e-mail file con restrizioni di accesso che possono essere aperti solo dal destinatario specificato; questo implica che l’utente debba essere loggato al servizio o eventualmente autenticarsi di nuovo inserendo email e OTP.

La seconda tattica sfrutta i file con permessi di sola lettura per eludere i sistemi di detonation nelle e-mail: i file condivisi dagli attaccanti sono impostati in modalità “Sola lettura” per impedirne il download e di conseguenza l’individuazione di URL malevoli nel file.

Solitamente gli attaccanti ottengono l’accesso iniziale compromettendo l’utente di un vendor dell’azienda e inviando dei file all’organizzazione target da questo account. “Questo abuso di servizi di file hosting legittimi è particolarmente efficace perché i destinatari sono più propensi a fidarsi delle e-mail provenienti da fornitori noti, consentendo agli attaccanti di aggirare le misure di sicurezza e compromettere le identità” spiegano i ricercatori di Microsoft.

I file condivisi, per essere più credibili, di solito fanno riferimento ad argomenti già oggetto di discussione tra le due aziende o a temi legati al business, e in generale si basano su un senso di urgenza per portare gli utenti ad aprire immediatamente i documenti ricevuti.

Quando la vittima accede al file condiviso, gli viene chiesto di verificare la sua identità inserendo l’email e l’OTP. L’utente apre quindi il documento dove è presente una finta preview di un messaggio e un pulsante per visualizzarlo interamente. Il link rimanda la vittima a una pagina di phishing controllata dall’attaccante; qui gli viene richiesto di inserire la sua password e completare l’autenticazione multifattore. Il token, ora in possesso degli attaccanti, può essere usato per prendere il controllo dell’account utente e proseguire con la campagna.

Difendersi dagli attacchi BEC che abusano del cloud

Per proteggersi da questi attacchi sempre più frequenti, Microsoft consiglia innanzitutto di rendere obbligatoria l’autenticazione multifattore per tutti gli utenti aziendali e, se possibile, eliminare le password.

Nel caso si utilizzi Microsoft Entra, è utile abilitare le policy di accesso condizionale e implementare la continuous access evaluation per verificare continuamente la sicurezza degli accessi. È inoltre fondamentale adottare soluzioni di sicurezza in grado di identificare e bloccare siti potenzialmente malevoli e di scartare le email sospette o anomale prima che raggiungano le vittime.