È ufficiale. “[email protected]” non è più sicuro.
Se di recente hai ricevuto un messaggio di testo con un collegamento strano o un oggetto di posta elettronica che sembra un po’ troppo urgente, controlla il mittente. Se dice quell’indirizzo, bingo. È Microsoft. È reale. E questo è il problema.
I truffatori non stanno falsificando il dominio. Stanno trasformando in un’arma il sistema attuale.
L’exploit della fiducia
Ci viene insegnato a controllare gli indirizzi dei mittenti. Se è @microsoft.com, deve essere legittimo, riteniamo. Non più.
Gli aggressori hanno escogitato un modo intelligente e a bassa tecnologia per dirottare il motore di notifica. Non hanno bisogno di entrare nei server Microsoft. Devono solo noleggiarne uno.
Ecco il gioco, dettagliato dalla società di sicurezza informatica Abnormal:
- Il cattivo attore crea un account Microsoft 36 usa e getta.
- Accedono alle impostazioni del marchio del tenant (in particolare nell’ID Microsoft Entra).
- Cambiano il campo “Nome” di quell’inquilino nel messaggio di truffa stesso. Un falso avviso finanziario. Una richiesta di phishing. Qualunque cosa attiri la tua attenzione.
- Attivano un’azione automatizzata che costringe Microsoft a inviare un’e-mail alla vittima. Spesso ciò comporta la richiesta di aggiungere l’e-mail della vittima all’account.
Poiché il sistema di Microsoft invia la notifica, utilizza l’indirizzo legittimo “[email protected]”.
Il contenuto dell’e-mail? Minimo.
Nessun allegato dannoso. Nessun collegamento ipertestuale inquietante che porta a una pagina di accesso falsa. Solo una riga dell’oggetto e forse un po’ di testo. Il testo? Questo è il campo “Nome” che l’aggressore ha modificato in precedenza. Si trova nell’intestazione o nel corpo come dati grezzi provenienti da una fonte attendibile.
L’exploit principale risiede nella configurazione all’interno di Microsoft Entra ID.
I tuoi filtri antispam controllano il mittente. Vedono Microsoft. Lo hanno lasciato scorrere. Non ci sono firme di malware su cui inciampare. L’e-mail è tecnicamente pulita, anche se l’intento è dannoso.
Da quanto tempo va avanti questa cosa?
Per un po.
Potresti aver notato persone su Twitter lamentarsi di questo ultimamente, ma Abnormal ha scritto di questa tattica a gennaio. I cattivi attori amano l’efficienza. Se un metodo funziona, migliaia lo copieranno. E questo metodo? Ignora i livelli di sicurezza più costosi perché si basa sulla fiducia.
Perché il tuo provider di posta elettronica dovrebbe bloccare un’e-mail che proviene direttamente da un processo di verifica del tenant Microsoft? Non dovrebbe. Fino a quando non dovrebbe.
Secondo i rapporti, Microsoft non ha ancora rilasciato una dichiarazione pubblica o una correzione per questo specifico abuso del marchio.
Quindi sei da solo.
Cosa fai adesso?
Ignora l’indirizzo del mittente.
Guarda il contesto. Hai chiesto a Microsoft di cambiare il nome del tenant? Probabilmente no. L’oggetto sembra una notifica generica o contiene una richiesta specifica?
“L’aggressore accede alle Proprietà del locatario…”
Sembra noioso. Sembra una documentazione informatica. Ma quelle noiose pratiche burocratiche sono l’arma.
Tieni gli occhi aperti. Se arriva un’e-mail da quell’indirizzo e non ti aspettavi nulla, fai una pausa. Controlla l’URL nella barra degli indirizzi del browser, non i collegamenti e-mail. Elimina i pezzi sospetti.
Internet non è più sicuro. È semplicemente conveniente.
Stai attento là fuori.
