Aggiornamenti recenti Dicembre 5th, 2019 10:12 AM
Ott 10, 2017 Marco Schiaffino Attacchi, Hacking, Intrusione, Leaks, News, RSS 0
Quanto può valere un account di posta elettronica per un pirata informatico? Dipende: nel caso del gruppo individuato dai ricercatori di Skyhigh Networks può rappresentare una vera miniera d’oro.
Il gruppo, che sfrutta una tecnica di attacco battezzata con il nome di KnockKnock, prende di mira i sistemi di posta Office 365 e punta specificatamente a determinati account aziendali. In particolare a quelli collegati all’automazione, ai servizi, al marketing e più in generale alle comunicazioni interne alla società.
Le ragioni sono molteplici. Prima di tutto perché, paradossalmente, sono gli account più vulnerabili. Trattandosi di account “di servizio”, infatti, non hanno solitamente un sistema di protezione con autenticazione a due fattori. In secondo luogo perché consentono l’accesso a servizi e dati che gli altri utenti non possono raggiungere.
Inoltre si tratta di indirizzi email che i dipendenti considerano attendibili e, una volta compromessi, permettono ai pirati di inviare malware o collegamenti a siti compromessi potendo contare sul fatto che i destinatari li considereranno affidabili.
Vista la posta in gioco, non c’è da stupirsi del fatto che i pirati preferiscano muoversi con accortezza per non rischiare di essere scoperti. Nonostante l’attacco sia portato attraverso una forma di brute-forcing (provando cioè numerose password fino a che non si “azzecca” quella giusta) i cyber-criminali ne hanno limitato il volume per aggirare i controlli di sicurezza.
Secondo i ricercatori, l’attacco viene portato attraverso una piccola botnet composta da circa 80 dispositivi distribuiti su 63 reti diverse. Per ogni account, inoltre, non vengono fatti più di 5 tentativi di accesso.
Un modus operandi decisamente diverso dai normali attacchi di brute forcing, che di solito colpiscono a tappeto tutti gli account di posta (in questo caso parliamo di una media di meno del 2% degli account aziendali) e cercano di eseguire il maggior numero di tentativi di accesso possibili.
Pochi tentativi di accesso distribuiti nel tempo. Se non si utilizzano sistemi di analisi evoluti l’attacco rischia di passare completamente inosservato.
Una volta ottenuto l’accesso a un account, i pirati di solito creano delle regole per la posta in arrivo in modo da esfiltrare i messaggi e nascondere l’operazione. Secondo i ricercatori di Skyhigh Networks, i pirati scelgono con cura anche il malware che intendono distribuire, tarandolo sulla tipologia dell’azienda che vogliono compromettere.
Secondo quanto emerge dal report, gli attacchi sarebbero iniziati nel maggio del 2017 e potrebbero essere collegati a un’altra ondata di attacchi con caratteristiche simili di cui l’azienda ha reso pubblici i dettagli a luglio.
In quel caso, però, i bersagli erano alcuni account selezionati sulla base dell’opportunità. I cyber-criminali hanno infatti sfruttato la diffusione su Internet dei dati personali rubati a Linkedin nel 2012, cercando di sfruttare quelle informazioni a loro vantaggio.
La logica è la solita: una volta conosciuta la password usata per un servizio, la si utilizza nella speranza che la vittima abbia usato la stessa parola di accesso (o magari una sua variante) anche per altre credenziali.
La cosa curiosa è che, piuttosto che indagare per scoprire l’indirizzo email delle potenziali vittime, i cyber-criminali hanno messo a punto un sistema automatizzato per provare tutte le più probabili sintassi dell’indirizzo di posta (come nomecognome@azienda.it; nome.cognome@azienda.it; cognome.nome@azienda.it; etc.) nella speranza di azzeccare quello giusto.
Anche in quel caso, però, il numero di tentativi erano limitati ed era evidente la volontà del gruppo di passare quanto più possibile inosservati.
Dic 05, 2019 0
Dic 04, 2019 1
Dic 03, 2019 0
Dic 02, 2019 0
Nov 23, 2019 0
Nov 20, 2019 0
Nov 12, 2019 1
Nov 01, 2019 1
Ott 10, 2019 0
Le operazioni di Red Teaming sono importantissime, ma...Lug 02, 2019 1
Dalla ricerca SonicWall emerge uno scenario in cui gli...Giu 05, 2019 2
Panda Security è un’azienda che negli ultimi anni si è...Mag 29, 2019 0
La migrazione di dati e servizi verso “la nuvola” è...Mag 14, 2019 0
La filosofia della società di sicurezza per garantire la...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 05, 2019 0
Il sistema di autenticazione usato da Microsoft lascia...Dic 04, 2019 1
I pirati informatici hanno cercato di portare un attacco...Dic 03, 2019 0
Sfrutta una falla del sistema Google e permette di...Dic 02, 2019 0
Il server “dimenticato” online con dati sensibili...Nov 29, 2019 0
I pirati informatici utilizzano email di phishing per...I pirati informatici hanno cercato di portare un attacco “double... Continua →
Il superamento di username e password è una necessità. Ma...
Le tecniche di attacco sono in continua crescita ed evoluzione....
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
Gli accessori connessi a Internet sono la nuova frontiera delle...
Instagram è uno dei social network più conosciuti su internet....