Gli episodi di sottrazione di account, in cui i cyber criminali rubano le credenziali dei dipendenti e le usano per inviare e-mail dall’account reale dell’utente, stanno aumentando in frequenza e portata. In questo numero di Threat Spotlight, Barracuda analizza nel dettaglio motivazioni e dati demografici alla base di questi attacchi.
La minaccia
Account Takeover – I criminali cercano di sottrarre le credenziali dell’utente per lanciare attacchi da un account interno all’azienda.
I dettagli
Gli attacchi account takeover (ATO) hanno più obiettivi. Alcuni criminali tentano di utilizzare l’account e-mail compromesso per lanciare campagne di phishing, altri rubano le credenziali di altri dipendenti e per venderle al mercato nero, altri ancora utilizzano l’account per lanciare attacchi personalizzati. I criminali più sofisticati rubano le credenziali di un dipendente chiave (ad esempio, CEO o CFO) e le utilizzano per lanciare un attacco di Business Email Compromise da un indirizzo email reale.
Per comprendere meglio l’entità di questa minaccia, il team Barracuda Sentinel ha condotto uno studio su 50 organizzazioni selezionate a caso. Queste organizzazioni, appartenenti a diversi settori, tra cui pubblico, privato e istituzioni, hanno segnalato furti di account nell’arco di tre mesi, dall’inizio di aprile a fine giugno 2018. Va considerato che questo studio potrebbe sottostimare il numero di sottrazioni di account, dal momento che alcuni attacchi potrebbero aver avuto luogo a insaputa dell’organizzazione.
Mese
aprile ’18
maggio ’18
giugno ‘18
totale
Numero di organizzazioni che hanno subito un account takeover
8
7
4
19
Numero di attacchi spam
3
5
2
10
Numero di attacchi phishing
13
30
4
47
Numero di attacchi mediante attachment
1
2
0
3
Numero totale di attacchi account takeover
17
37
6
60
La tabella sopra include un riepilogo degli episodi riportati da queste organizzazioni. Un account takeover ha luogo quando l’email di un dipendente viene utilizzata da un criminale per inviare email ad altri destinatari, sia all’interno sia all’esterno dell’azienda.
Complessivamente, ogni mese 4-8 organizzazioni hanno segnalato almeno un episodio di sottrazione di account, per un totale di 60 episodi segnalati. In media, quando un’azienda viene compromessa, subisce almeno tre episodi di account takeover, dove a essere colpiti possono essere gli stessi dipendenti o dipendenti diversi.
Barracuda ha inoltre analizzato il tipo di episodi. Su 60 attacchi, il 78% ha generato un’email di phishing, dove l’obiettivo dell’aggressore era tipicamente quello di infettare ulteriori account interni ed esterni. L’email di solito impersona il dipendente e chiede al destinatario di cliccare su un link. A volte, i criminali hanno fatto apparire l’e-mail come se il dipendente stesse inviando un invito a un link da un popolare servizio web, come OneDrive o Docusign.
Un altro 17% degli episodi è stato utilizzato per l’invio di campagne spam. La ragione per cui i criminali amano utilizzare account compromessi come veicoli per il lancio di spam è che gli account hanno spesso una buona reputazione: provengono da domini affidabili, dall’IP corretto e da persone reali che hanno una cronologia email legittima. Pertanto, è molto probabile che vengano bloccati dai sistemi di sicurezza della posta elettronica che si basano su dominio, mittente o reputazione IP.
Nel restante 5% degli episodi, l’aggressore chiedeva al destinatario di scaricare un allegato. Questi tentativi riguardavano tutti il traffico di posta elettronica interno. Si tratta di un attacco molto efficace perché la maggior parte dei sistemi di sicurezza delle e-mail non esegue la scansione del traffico interno alla ricerca di minacce. Pertanto, gli aggressori possono inviare malware con relativa facilità internamente e i destinatari spesso apriranno gli allegati, causando l’infezione dei loro endpoint.
Barracuda ha inoltre analizzato il ruolo dei dipendenti attaccati. Nell’arco di 3 mesi, 50 account email diversi sono stati compromessi (alcuni lo sono stati più volte):
Numero di dipendenti compromessi
60
Percentuale di executive
6%
Percentuale appartenente a dipartimenti sensibili
22%
Solo il 6% dei dipendenti compromessi era dirigente. Infatti, la stragrande maggioranza ricopriva ruoli entry-level e mid-management. Ciò dimostra che l’acquisizione di account è un fenomeno diffuso e non si rivolge solo ai livelli più alti. Spesso, i dipendenti di livello inferiore sono considerati obiettivi migliori, perché hanno meno formazione sulla sicurezza informatica. Inoltre, poiché molti episodi vengono utilizzati per phishing di altri dipendenti o di utenti esterni, gli hacker sono alla ricerca di qualsiasi modo per entrare nella rete. Una volta dentro, possono sfruttare a proprio vantaggio la reputazione dell’azienda e del suo marchio.
Il 22% degli episodi ha colpito dipendenti di reparti sensibili (risorse umane, IT, finance e legal). Il numero complessivo di dipendenti di questi dipartimenti all’interno delle organizzazioni prese in esame è molto inferiore al 22%. Pertanto, questo dimostra che mentre questi episodi sono diffusi, ci sono ancora reparti specifici preferiti dai criminali, in quanto obiettivi più redditizi per informazioni e furti finanziari.
Le soluzioni Barracuda
Difesa in tempo reale da spear phishing e cyberfrodi. Barracuda Sentinel è l’unica soluzione sul mercato in grado di prevenire automaticamente il furto di account email. Sentinel si basa su tre livelli di intervento: un motore di intelligenza artificiale che blocca gli attacchi spear phishing in tempo reale, anche se le email provengono dall’interno dell’azienda; visibilità sulle domain fraud utilizzando l’autenticazione DMARC per la protezione da domain spoofing e brand hijacking; formazione con frodi simulate per i soggetti a più alto rischio.
Formazione dell’utente. Il personale dovrebbe essere regolarmente formato e la preparazione valutata, per migliorare la conoscenza dei diversi attacchi mirati. La formazione basata su attacchi simulati è di gran lunga il metodo di formazione più efficace. Barracuda PhishLine permette di fornire una formazione completa dell’utente, completa di test, ed effettuare simulazioni con email, voicemail e SMS oltre ad altri tool utili per addestrare gli utenti a identificare i cyberattacchi.