Possibile utilizzo degli account compromessi da Phishing

Google & Office 365 phishing business victims

Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…

Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.

Possiamo quindi esaminare due scenari.

Impatto aziendale diretto

Usiamo un esempio per illustrare lo scenario: la società MyCompany Ltd. utilizza servizi in cloud quali Gmail od Office 365 per la gestione della posta aziendale. Un Team criminale avvia campagne di phishing realizzata per colpire indistintamente l’utenza di servizi Google o Microsoft. Tra le molte vittime che inseriscono le proprie credenziali di accesso a Gmail, Google Drive, Outlook, ecc… i criminali individuano un certo numero di credenziali in cui gli indirizzi di posta elettronica impiegati, o username, sono relativi al dominio mycompany.tld.

Le possibilità che si aprono per i criminali sono molte e tutte appetibili:

  • Attacco man in the mail, per dirottare il pagamento di fatture, richiedere bonifici, casi classici di business email compromised (BEC);
  • Accesso ad informazioni e documenti contenuti nella corrispondenza elettronica;
  • Accesso a documenti presenti nel cloud storage collegato all’account;
  • Possibilità di inviare ulteriore phishing o allegati malevoli da account trusted.

Si potrebbe tuttavia erroneamente ipotizzare che questa sia un’evenienza remota, ma così non è!

Come ben illustrato dall’immagine sottostante, che riporta vittime a livello enterprise di casi di phishing a danno dei servizi Google e Microsoft rilevate da D3Lab tra 2018 e 2019, anche i dipendenti di aziende di alto livello possono cadere vittime di phishing. Il danno che ne deriverà dipende unicamente dalla posizione che la vittima ricopre all’interno della struttura/piramide aziendale.

Google & Office 365 phishing business victims

Alcuni account eMail sottratti dai Phisher tramite Fake Login Google e Microsoft Office nell’anno 2018 e 2019.

 

Impatto aziendale indiretto

L’essere umano è fallace, non solo nel suo operare, ma anche semplicemente nel seguire le regole, sia che si tratti di leggi dello stato, regole della convivenza civile o policy aziendali.

Succede così che moltissime persone continuino a creare account per servizi ad uso personale utilizzando gli indirizzi email aziendali. Ogni qualvolta si rinvengono credenziali carpite a ignare vittime nell’ambito di un caso di phishing, sia esso a danno di cloud provider, operatori di telefonia o energetici, siti di incontri, siti di compravendita, e qualsiasi altro interesse personale che possa risultare remunerativo per essere attaccato dai criminali, ci si imbatte in indirizzi email aziendali, usualmente abbinati alle password di accesso ai servizi che del phishing rappresentavano il target.

In questi casi il problema per l’azienda è derivato, indiretto, e può essere rappresentato da:

  • riutilizzo delle password
  • possibilità che i criminali attraverso il servizio di interesse personale aggredito e violato, con la consegna delle credenziali da parte della vittima, possano svolgere un’azione di raccolta
  • informazioni che permetta un attacco trasversale all’utente stesso, finalizzato a violare il suo sistema, anche personale, rinvenendo in esso le informazioni utili ad aggredire la struttura aziendale

Se questa possibilità può apparire remota è sufficiente osservare l’immagine sottostante che riporta, a titolo indicativo, alcuni dei domini a cui facevano capo gli indirizzi email usati da utenti del web per iscriversi a servizi a fini personali, o usati quali riferimenti/contatti email per gli stessi.

domini legai ad account aziendali impiegati da vittime di phishing su servizi ad uso personale/privato

Alcuni account eMail Italiani sottratti dai Phisher nell’anno 2018 e 2019.

Come possibile osservare l’elenco presenta un’ampia varietà di realtà governative, nazionali o locali, o legate al mondo dei servizi erogati dallo stato (istruzione, sanità), così come aziende private ed associazioni che ben possono rappresentare un target pagante per cyber criminali, concorrenti, ecc…

Tra gli indirizzi delle vittime non mancano poi studi legali, indirizzi di posta elettronica certificata, che potrebbero rappresentare un ricettacolo di informazioni personali e sensibili che se divulgate dai criminali stessi potrebbero compromettere pesantemente le attività professionali a cui fanno riferimento.

Appare evidente che in alcuni casi le informazioni possono risultare di immediato interesse ed uso per il criminale che ha realizzato la compagna di phishing, in altri casi possono invece rappresentare un valido oggetto di scambio/vendita verso soggetti interessati all’acquisto per fini specifici e mirati.

Al fine di supportare le aziende D3Lab ha strutturato un proprio servizio che a fronte dell’individuazione di un account/indirizzo email facente riferimento ad uno specifico dominio aziendale durante l’analisi di un caso di phishing allerta l’azienda indicando che un utente appartenente alla struttura aziendale è caduto vittima di phishing. Il servizio non prevede la conservazione o comunicazione al cliente della password eventualmente inserita dalla vittima nel phishing.

A seguito dell’allerta il cliente potrà intervenire secondo le proprie policy al fine di tutelare gli account aziendali da accessi indebiti.