Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Scoperte di Darktrace nelle e-mail: impersonificazione di Microsoft Teams

Dan Fein, Director of Email Security Products | giovedì 16 luglio 2020

Con il passaggio allo smart working, il numero giornaliero di utenti attivi su Microsoft Teams è cresciuto fino a 75 milioni, rispetto ai 20 milioni dell’anno scorso nello stesso periodo. Trend simili hanno interessato anche Slack, Zoom e Google Meet. Con queste applicazioni SaaS diventate la base delle nostre realtà lavorative, possiamo aspettarci che i pirati informatici sfruttino nomi noti e reputazioni attendibili per lanciare campagne di attacco basate su e-mail.

Infatti, il mese scorso l’AI di Darktrace ha rilevato uno di questi tentativi durante il funzionamento in modalità passiva presso un conglomerato internazionale. Antigena Email ha identificato 48 e-mail in arrivo che imitavano una notifica di Microsoft Teams, ma che in realtà provenivano da un mittente sconosciuto e da un dominio raro. Quest e-mail contenevano un link nascosto ad un sito di archiviazione Google, celato dietro il testo "Accetta collaborazione".

98%
Fri Jun 19 2020, 08:26:42
From:Microsoft Teams <[email protected]>
Recipient:Naomi Kelly <[email protected]>
Teams Message
Email Tags
Suspicious Link
New Contact
Wide Distribution
Actions on Email
Move to Junk
Double Lock Link
Hold Message

Figura 1: Immagine interattiva dell’interfaccia utente di Antigena Email

I link di archiviazione file come questi sono usati spesso perché bypassano i filtri spam. Nonostante i link stessi non siano ritenuti pericolosi, possono tranquillamente includere file che contengono malware o altri contenuti pericolosi. Anche se questo attacco sarebbe passato attraverso uno strumento tradizionale per la sicurezza delle e-mail, Antigena Email ha notato che in questo caso la pagina ospitava una pagina di accesso Microsoft. Nel momento in cui l’e-mail è arrivata, una scansione dell’URL non aveva rilevato il sito come pericoloso, ma Antigena Email ha riconosciuto estremamente insolito che un dominio Google ospitasse una pagina di accesso Office.

Riconoscendo ciò come un tentativo di impersonificare un servizio interno per distribuire link di phishing, Antigena Email ha bloccato il link in questione e ha evitato che l’email fosse recapitata nella casella di posta in arrivo. La schermata seguente mostra l’elenco completo di modelli che sono stati violati e le rispettive azioni intraprese dall’AI a causa di ciò.

Figura 2: Elenco completo dei modelli di violazione associati a questa e-mail e le rilevanti azioni adottate

Nessuna delle 48 e-mail era stata individuata degli strumenti di sicurezza integrati in Microsoft e 12 di queste e-mail erano state aperte dai destinatari. Inoltre, le e-mail erano state inviate ai destinatari in ordine alfabetico, suggerendo quindi che il pirata informatico avesse accesso alla rubrica aziendale e che probabilmente avrebbe continuato il suo attacco, prendendo di mira ancora più dipendenti, se Antigena Email non avesse identificato questa attività pericolosa e avvisato immediatamente il team della sicurezza.

Questa non era la prima volta, e probabilmente nemmeno l’ultima, in cui i pirati informatici sfruttano strumenti di collaborazione SaaS attendibili per provare a entrare in contatto con gli utenti e convincerli a fare clic su link pericolosi. Antigena Email è in grado di individuare questi tentativi, riconoscendo quando un marchio attendibile viene usato per mascherare un comportamento insolito e pericoloso. Centinaia di organizzazioni si affidano oggi a questa tecnologia basata sull’AI per un rilevamento e una strategia di risposta più completi contro questi attacchi sempre più sofisticati.

Per un’analisi su altri 13 attacchi e-mail, leggere il Report sulla sicurezza contro le minacce e-mail 2020

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.