Microsoft: terreno fertile per i criminali informatici. Serie di articoli del blog.
Questa pubblicazione fa parte di una serie di articoli del blog sui diversi tipi di attacchi email incentrati sulle persone che Microsoft non riesce a rilevare. Questi attacchi costano alle aziende milioni di dollari ogni anno e causano frustrazione sia fra gli addetti alla sicurezza delle Informazioni sia agli utenti, a causa di tecnologie di rilevamento superate e alle limitazioni intrinseche della sicurezza email di Microsoft. Questa serie di articoli illustrerà in dettaglio come Microsoft si lascia sfuggire diversi tipi di attacchi, con esempi recenti di:
- Violazione dell’email aziendale o frode via email
- Ransomware
- Rischi per la supply chain
- Violazione degli account
- Condivisione di file pericolosi
Iscriviti al nostro blog in fondo a questa pagina per ricevere aggiornamenti regolari sugli attacchi non rilevati che potrebbero avere un impatto sulla tua azienda, nonché per comprendere meglio i rischi a cui va incontro grazie a una valutazione delle minacce.
Attacchi BEC non identificati da Microsoft
La violazione dell’email aziendale (Business Email Compromise, BEC), un tipo di frode via email, è una delle minacce più dannose, dal punto di vista economico, per le aziende di tutte le dimensioni e di tutti i settori. In termini di perdite monetarie supera quasi tutti gli altri tipi di reato informatico.
Nel solo 2020, gli attacchi BEC sono costate a singoli e imprese quasi 2 miliardi di dollari e hanno rappresentato il 44% delle perdite economiche totali, secondo il report annuale sui reati informatici stilato dall’IC3 (Internet Crime Complaint Center) dell’FBI. Rispetto al 2019 si tratta di un aumento di 100 milioni di dollari. Altre ricerche, come lo studio del Ponemon Institute sul costo del phishing nel 2021, indicano in 6 milioni di dollari la media annua delle perdite dirette e indirette per una grande azienda, ossia il 40% del costo totale del phishing.
Figura 1: Proofpoint blocca ogni giorno oltre 15.000 messaggi BEC
Proofpoint rileva in media 450.000 attacchi BEC al mese. Nell’ultimo mese, Proofpoint ha rilevato circa 2100 minacce BEC che hanno eluso le difese perimetrali di Microsoft, solo in una serie limitata di dati di valutazioni delle minacce.
Una grande azienda manifatturiera, con oltre 18.000 dipendenti, ha subito quasi 300 attacchi da parte di email fraudolente. In una università con 1.000 postazioni, Microsoft non è riuscita a fermare quasi 150 messaggi fraudolenti inviati al personale universitario. In un’azienda più piccola, con circa 600 dipendenti, a Microsoft sono sfuggiti oltre 80 messaggi fraudolenti. In ciascun caso, la convalida tecnica è durata circa un mese.
Qui sotto si può vedere un esempio dei tipi di attacchi BEC non rilevati da Microsoft, in entrata e in uscita, e identificati nelle recenti valutazioni delle minacce Proofpoint.
Attacchi di reindirizzamento degli stipendi
Gli attacchi di reindirizzamento, o dirottamento, degli stipendi, è una frode via email che solitamente colpisce i dipendenti di dipartimenti come contabilità, servizi finanziari, gestione degli stipendi e risorse umane. Impiegano diverse tattiche di social engineering che a volte li rendono difficili da individuare. Proofpoint rileva, in media, circa 60.000 tentativi di reindirizzamento degli stipendi al mese.
Gli attacchi di reindirizzamento degli stipendi sono considerati un rischio di medio livello per le aziende. Secondo il report sugli attacchi BEC dell’IC3 (FBI) dal 2019, la perdita media causata da una frode degli stipendi ammonta a 7.904 dollari per caso.
Ecco un esempio di attacco non rilevato da Microsoft:
- Ambiente: Microsoft 365
- Categoria della minaccia: violazione dell’email aziendale
- Tipo di attacco: reindirizzamento degli stipendi
- Obiettivo: responsabile delle indennità
Figura 2: esempio di attacco di reindirizzamento degli stipendi
Anatomia di un attacco di reindirizzamento degli stipendi
Questo attacco di reindirizzamento degli stipendi ha eluso i controlli nativi della sicurezza email di Microsoft, e ha anche permesso una comunicazione bidirezionale tra l’impostore e la vittima. L’impostore ha usato un account di Gmail spacciandosi per un dipendente che richiedeva di spostare l’accredito su un nuovo conto corrente. Il furto dell’identità dei dipendenti è già per sé un problema, ma le perdite finanziarie possono essere ben più gravi quando colpisce i dirigenti di alto livello.
Attacco di impersonificazione di un dirigente
Gli attacchi di spoofing o impersonificazione, in particolare quelli che coinvolgono i dirigenti, sono aumentati drasticamente con il cambiamento degli ambienti di lavoro. Da marzo 2020, Proofpoint ha osservato lo spoofing delle email di oltre 7.000 CEO. Oltre la metà dei clienti di Proofpoint ha sperimentato almeno un tentativo di truffa in cui l’identità di uno dei loro dirigenti è stata violata in un tentativo di truffa via email.
Ecco un esempio di attacco non rilevato da Microsoft:
- Ambiente: Microsoft 365
- Categoria della minaccia: violazione dell’email aziendale
- Tipo di attacco: impersonificazione
- Obiettivo: responsabili della strategia e dello sviluppo strategico
Figura 3: esempio di un attacco di impersonificazione di un dirigente
Anatomia di un attacco di impersonificazione di un dirigente
Questo attacco di impersonificazione ha eluso i controlli nativi della sicurezza email di Microsoft. L’impostore ha usato un account di Gmail fingendosi il CEO richiedendo ai dipendenti dell’azienda di compire un’azione. Se i dipendenti avessero risposto all’email, l’aggressore avrebbe potuto continuare la manipolazione per estrarre dati o a sottrarre denaro.
Perché Microsoft non rileva gli attacchi BEC
Questi attacchi usano tattiche sofisticate e Microsoft non ne ha rilevato neanche uno per varie ragioni:
- Queste email superano le semplici verifiche della reputazione del mittente; l’utilizzo di Gmail ha permesso di passare le verifiche di autenticazione SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). L’uso dei servizi legittimi è una tattica comune che molte soluzioni basate sulla reputazione stentano a rilevare.
- Queste email falsificano il nome visualizzato di un dipendente. Microsoft li rileva solo una volta che sono stati identificati manualmente. Inoltre, comunemente i criminali informatici usano nickname o varianti del nome del dipendente per eludere la funzione di analisi delle intestazioni dei messaggi di Microsoft.
- Microsoft non offre il rilevamento metonimico (la sostituzione delle parole) per decifrare il tono e l’intento del contenuto dei messaggi. Queste minacce usano chiaramente una formulazione indicativa di una frode via email.
- Dato che l’email non contiene un payload dannoso, la sandbox di Microsoft incorporata non rileva questo tipo di minacce.
A causa di queste lacune nel rilevamento, le aziende devono dedicare molto tempo e risorse per neutralizzare gli effetti di questi attacchi, spesso manualmente. In un caso di studio, un’azienda ha potuto risparmiare l’equivalente di tre assunzioni a tempo pieno, circa 345.000 dollari nell’arco di tre anni, grazie alle funzionalità avanzate di rilevamento della soluzione di sicurezza dell’email di Proofpoint.
Come Proofpoint blocca le violazioni dell’email aziendale
Figura 4: Grafico relazionale che illustra come Proofpoint aiuta a bloccare gli attacchi BEC
Proofpoint è il primo e unico fornitore a offrire una soluzione integrata, end-to-end, per combattere gli attacchi BEC. Il nostro motore di machine learning, Supernova, utilizza la telemetria del gateway in entrata e in uscita, l’analisi dei rischi per la supply chain e i dati delle API provenienti dalle piattaforme per la produttività cloud come Office 365 e Google Workspace, per fornire una difesa sofisticata contro gli attacchi BEC.
Supernova combina il machine learning, l’analisi stateful, l’analisi comportamentale, degli insiemi di regole e le ricerche dei nostri esperti sui criminali informatici per fornire ai clienti di Proofpoint la massima efficacia e il più basso tasso di falsi positivi tra le piattaforme di rilevamento. I componenti di machine-learning di Supernova vengono addestrati dalla nostra eccezionale serie di dati, provenienti dalle soluzioni di protezione dell’email utilizzate dalla maggioranza delle aziende incluse nelle classifiche Fortune 100, Fortune 1000 e Global 2000.
Negli esempi di cui sopra, è importante notare che Proofpoint ha rilevato questi messaggi e ha impedito che raggiungessero le caselle email degli utenti.
Raccomandazioni per contrastare gli attacchi BEC
Figura 5: Come l’approccio di protezione multi-livello di Proofpoint contribuisce a contrastare gli attacchi BEC
Proofpoint adotta un approccio multi-livello per bloccare gli attacchi BEC utilizzando la nostra piattaforma Proofpoint Threat Protection. Alcuni di questi livelli includono le nostre eccellenti funzionalità di isolamento, autenticazione, formazione e correzione automatica. Quando si tratta di phishing, non c’è una soluzione rapida contro una minaccia in continua crescita, ed per questo che è indispensabile una soluzione di protezione multi-livello e integrata. Proofpoint sfrutta inoltre il machine learning e le tecnologie di sandboxing per rilevare e bloccare, oltre agli attacchi BEC, ransomware, phishing e violazione degli account.
Per saperne di più su come Proofpoint può bloccare queste e altre minacce nel tuo ambiente grazie alla piattaforma Proofpoint Threat Protection, visita questa pagina. Puoi anche prenotare una valutazione gratuita delle minacce legate all’email.