Negli ultimi anni si è spostato il baricentro di molti attacchi. Non è più tanto interessante entrare in una casella di posta per leggere cosa c’è dentro, ma per usarla fino a che il proprietario non se ne accorge, in modi diversi ma tendenzialmente tutti piuttosto fastidiosi.

Riceviamo continue notifiche di data breach, ma alcune mi hanno colpito particolarmente, come il caso reale di uno studio tecnico che ha notificato una violazione di propri account di posta elettronica.

Il caso riguarda due account compromessi tramite ingegneria sociale; una volta ottenuto l’accesso, nel giro di meno di due ore, migliaia di email inviate verso contatti reali.

Non c’è bisogno di tecniche particolari quando l’attaccante ha già in mano un’identità legittima e una rubrica piena di destinatari che si fidano. O, se manca la rubrica, si hanno comunque i messaggi di posta – anni di email archiviate online – dai quali attingere contenuti e indirizzi.

Lo schema dell’attacco AiTM (Adversary in The Middle)

Se lo si guarda in prospettiva, è lo stesso schema che emerge anche nelle analisi più recenti di campagne phishing.

Il fulcro della truffa non è tanto la pagina fake verso la quale le vittime vengono indirizzate, convinte di scaricare un allegato al messaggio ricevuto, ma quello che succede dietro, quando la vittima è caduta in inganno.

Le credenziali inserite dall’utente vengono infatti raccolte e inviate in tempo reale a infrastrutture estremamente semplici, spesso bot Telegram usati come canale di esfiltrazione, non serve più nemmeno una vera infrastruttura di comando e controllo.

Questo abbassa drasticamente la barriera tecnica: chiunque può mettere insieme una campagna che funziona e raccoglie contatti, credenziali, account compromessi, in modo esponenziale.

La sequenza ormai è sempre quella, ma negli ultimi tempi si è affinata. La mail iniziale, infatti, contiene quasi sempre un pretesto credibile come un documento condiviso, una richiesta di visualizzazione, qualcosa che rimanda a OneDrive o a servizi analoghi.

Il link porta a una pagina che replica il login Microsoft o altri provider e da lì in poi entrano in gioco due varianti.

Il phishing si inserisce tra utente e servizio email

La prima variante è quella più semplice: raccolta di username e password e invio immediato degli stessi via bot o API a un server messo in piedi dagli attaccanti.

La seconda, più interessante, è quella basata su AiTM (Adversary in The Middle) dove il phishing non si limita a rubare credenziali, ma si inserisce tra l’utente e il servizio reale, intercettando anche token e cookie di sessione.

In pratica l’attaccante non deve nemmeno più preoccuparsi dell’OTP, perché la sessione autenticata gli arriva già pronta grazie alla vittima che ha permesso l’accesso diretto, convinta in realtà di autenticarsi sul proprio tenant o indirizzo di posta elettronica.

Attacco AiTM anche con l’MFA attivo

Questo spiega perché oggi si vedono compromissioni anche in ambienti dove l’MFA è attivo e correttamente configurato, al punto che tanti si chiedono a che cosa serva avere un 2FA impostato sul proprio account se la casella di posta può comunque essere compromessa.

Ovviamente l’autenticazione a due fattori ha pienamente senso e protegge in effetti la sottrazione dell’account, anche se lascia accedere inopportuni visitatori quando il token viene fornito loro volontariamente.

Gli strumenti di attacco sono quindi diventati in realtà dei prodotti a uso dei criminali: kit pronti all’uso, venduti come servizio, con integrazione diretta verso Telegram, dashboard e automazioni.

Spesso chi commette questo tipo di truffe non è esperto né tantomeno un tecnico, è qualcuno che ha acquistato il servizio dai criminali e lo utilizza per i propri fini.

La truffa svela il vero valore dell’account compromesso

Una volta dentro la casella, il comportamento è cambiato rispetto al passato, o meglio si vede sempre più spesso una interessante variante.

Non si rimane per giorni a osservare come nel tradizionale Man in The Mail (MiTM) dove gli attaccanti monitorano per mesi la mailbox fino a quando rilevano messaggi interessanti (fatture, IBAN ecc.).

Il valore dell’account è la relazione con la vittima

Nel caso di questa truffa di “takeover” limitato spesso si agisce subito. Si scaricano contatti, si leggono rapidamente le ultime conversazioni, si individuano thread attivi e si parte con l’invio.

In alcuni casi si risponde direttamente a conversazioni esistenti – per rendere più credibile il messaggio per i riceventi, che lo vedono arrivare in risposta a una loro prece dente email – in altri si manda una nuova ondata di messaggi con lo stesso schema phishing iniziale.

È qui che si comprende il vero valore dell’account compromesso: non tanto il contenuto, ma la relazione con la vittima – di fiducia, di colleganza, di cliente/fornitore, di parentela – e la possibilità diusarla per fini illeciti.

Ogni email inviata parte già con un livello di fiducia implicito che nessuna campagna spam tradizionale può avere.

La fase di propagazione

Nel caso dello studio, di cui di recente è girata una notifica di data breach agli interessati, le 4600 email inviate in meno di due ore sono esattamente questo: una fase di propagazione, potenzialmente esponenziale, dato che ogni vittima diventerà il prossimo “untore”.

L’obiettivo non è rimanere dentro quella casella, ma usarla come trampolino per raggiungerne altre migliaia e da lì decine di migliaia, ovviamente con lo scopo di fermarsi a un certo punto e iniziare a incassare, con truffe “attive” come CEO Fraud, BEC Business Email Compromise, Wire Fraud eccetera.

Indicatori classici inefficaci con questa tecnica

Un aspetto che viene spesso sottovalutato è quanto queste campagne siano ormai “leggere” dal punto di vista infrastrutturale e semplici da automatizzare.

L’analisi di campagne recenti mostra uso di HTML allegati con JavaScript che raccolgono le credenziali e le inviano direttamente a bot Telegram, senza nemmeno passare da server intermedi complessi.

Hosting su piattaforme legittime, nomi di dominio di terzo livello generati in modo simile alle caselle compromesse per ingenerare fiducia nei riceventi, redirect verso login reali per non destare sospetti, codice minimale, il tutto pensato per durare poco, ma essere efficace.

Questo ha anche un impatto diretto sulla rilevazione. Indicatori classici come domini sospetti o certificati anomali diventano meno utili quando il phishing gira su infrastrutture legittime o quando il payload è dentro un allegato HTML apparentemente innocuo.

Il monitoraggio comportamentale

A quel punto, a fare la differenza è quasi sempre il monitoraggio comportamentale: quando una casella viene compromessa, la prima cosa che bisogna capire non è solo “come”, ma soprattutto “cosa è successo dopo”.

Non basta cambiare la password e chiudere l’incidente, come fanno in tanti, è necessario approfondire in ogni caso cosa è successo, come, da quanto, quante email sono uscite, quali dati sono stati acceduti dagli attaccanti.

Bisogna verificare se ci sono stati accessi alle email, se sono stati effettuati download massivi, se sono stati consultati o peggio ancora scaricati allegati.

Ancora più importante è capire se è stato fatto accesso al cloud drive collegato alla mailbox, perché spesso lo stesso account apre anche OneDrive, SharePoint o altri repository aziendali.

La differenza tra una semplice lettura di contatti e l’accesso a documentazione riservata cambia completamente la valutazione del rischio, ma nelle segnalazioni di data breach spesso vediamo un semplice e riduttivo “i criminali hanno scaricato la rubrica e poi inviato migliaia di email”.

Negli attacchi AiTM, ci sono tracce particolari nei log

Altra cosa fondamentale è ricostruire gli accessi: indirizzi IP, user agent, geolocalizzazione, sequenza degli eventi, tracce lasciate dagli attaccanti di login, download, impostazioni modificate, eventuali forward/inoltri o filtri impostati, potenziali backdoor lasciate aperte (chiavi Fido2, passkey, codici di recupero OTP).

Gli attacchi AiTM, per esempio, possono lasciare tracce particolari nei log, come sequenze anomale di autenticazione o cambi improvvisi di contesto del client, user agent anomali, indirizzi IP esteri: anche il solo fatto di vedere accessi da paesi o ASN non coerenti è già un indicatore forte.

Poi c’è la parte di propagazione: bisogna capire cosa gli attaccanti hanno inviato, a chi, con quali contenuti e in che intervallo temporale. Questo serve sia per contenere l’attacco sia per valutare l’impatto verso terzi, che potenzialmente – ad esempio in ambito professionale – potrebbero dover essere notificati della violazione e potenziale data breach.

Il ruolo del GDPR

Qui entra in gioco il tema GDPR, che in ambito professionale non è un dettaglio.

Una compromissione di casella email, soprattutto quando contiene dati di clienti, fornitori, informazioni contabili o anche solo dati di contatto, è a tutti gli effetti un potenziale data breach.

Anche se non c’è evidenza certa di esfiltrazione di documentazione riservata, il solo accesso non autorizzato può essere sufficiente per attivare obblighi di notifica.

L’attacco AiTM e gli obblighi di notifica

Nel caso dello studio, la scelta di notificare è coerente proprio con questo.

Dentro le caselle c’erano dati personali di vario tipo e il fatto che un attaccante abbia avuto accesso, anche per poco tempo, introduce un rischio da comunicare.

Non è solo una questione formale, ma anche operativa, perché permette ai destinatari di adottare contromisure, prima fra tutte ignorare eventuali messaggi provenienti dalle caselle compromesse nel periodo di compromissione, periodo che occorre rilevare tramite analisi da svolgersi con tecniche d’informatica forense e la redazione di una perizia informatica, a uso del DPO o di chi si occupa della gestione della protezione dei dati per l’azienda o il professionista.

Come difendersi

Sul fronte difensivo, il punto è che non esiste una singola misura risolutiva. Infatti l’MFA resta necessario, ma non è più sufficiente, almeno da solo. Serve lavorare sulla detection, sulla visibilità degli accessi, sull’analisi anche automatica dei comportamenti anomali.

Diventa importante anche ridurre la superficie:

• limitare l’esposizione delle caselle;
• proteggere meglio i flussi di autenticazione;
• controllare periodicamente le sessioni attive, l’eventuale presenza di filtri non impostati dall’utente, d’indirizzi nella sezione forward/inoltro.

Più è credibile il mittente, più aumenta il rischio

Serve, infine, cambiare un presupposto che ormai non regge più: che una mail proveniente da un contatto noto sia affidabile, principio che ormai vale anche per chat come Whatsapp o persino social network come Facebook o Instagram.

Oggi è esattamente il contrario. Più è credibile il mittente che ci chiede di fare cose inusuale (scaricare allegati, inviare un codice, installare software eccetera) più bisogna chiedersi se qualcun abbia sfruttato altro quella credibilità.

In conclusione, qui si nasconde il vero punto degli attacchi di questo tipo: non cercano di sembrare legittimi, usano qualcosa di legittimo (email, numero di telefono WhatsApp, utente Instagram/Facebook sito web) per ingenerare fiducia, in un momento in cui – a causa dell’attacco subito e della compromissione in corso – tutto devono ispirare tranne proprio la fiducia.