8BitSecurity

Una delle evoluzioni più allarmanti nel panorama delle minacce informatiche è l’uso ingannevole di servizi di file hosting legittimi come SharePoint, OneDrive e Dropbox per lanciare campagne di phishing. Questi attacchi sono particolarmente insidiosi perché sfruttano la fiducia che milioni di utenti ripongono in piattaforme essenziali per il lavoro e la vita quotidiana. Il risultato? Un rischio crescente per la sicurezza, poiché ciò che sembra sicuro e familiare si trasforma in una trappola sofisticata e ben camuffata.

Come Funzionano gli Attacchi di Phishing tramite File Hosting

Gli attacchi di phishing tradizionali avvengono generalmente tramite email contenenti link malevoli o allegati dannosi. Tuttavia, i cybercriminali hanno iniziato a sfruttare piattaforme di cloud storage per dare maggiore credibilità ai loro tentativi di frode. Ecco come funziona questo nuovo tipo di attacco:

1. Creazione di un File di Phishing: Gli attaccanti caricano un documento o un file su una piattaforma legittima come SharePoint, OneDrive o Dropbox. Questo file può essere un PDF, un documento Word o Excel, oppure un semplice link che rimanda a una pagina di phishing.
2. Condivisione del Link Legittimo: Una volta caricato il file, gli attaccanti generano un link condivisibile direttamente dalla piattaforma di file hosting. Poiché il link proviene da un servizio affidabile nella maggior parte delle organizzazioni non viene bloccato dai filtri anti-phishing.
3. Email di Phishing con Link al File: Gli attaccanti inviano email di phishing che contengono un invito a cliccare su questo link, che sembra del tutto legittimo. Gli utenti, vedendo che si tratta di un link di SharePoint, OneDrive o Dropbox, sono meno inclini a sospettare di un inganno.
4. Furto di Credenziali: Una volta cliccato il link, la vittima viene indirizzata a una pagina che imita l’interfaccia di login di un servizio noto, come Microsoft Office 365, Dropbox o altri. Se l’utente inserisce le proprie credenziali, queste vengono immediatamente inviate agli attaccanti.

Nella maggior parte dei casi, la form di phishing mostra un messaggio di “password incorretta” per spingere l’utente a reinserire la password, aumentando così le probabilità che venga esfiltrata la password corretta.

                                      

Perché Questi Attacchi Sono Così Efficaci?

Ci sono diversi fattori che rendono questa forma di phishing particolarmente efficace e difficile da contrastare:

• Affidabilità del Servizio: Servizi come SharePoint, OneDrive e Dropbox sono ampiamente utilizzati dalle aziende e dagli utenti privati. Il fatto che i link provengano da un dominio legittimo (come sharepoint.com o onedrive.live.com) induce a una falsa sensazione di sicurezza.
• Evasione dei Controlli di Sicurezza: Molti filtri anti-phishing e soluzioni di sicurezza aziendali sono progettati per bloccare URL sospetti o allegati dannosi. Tuttavia, i link che puntano a file hosting su piattaforme legittime riescono spesso a superare questi controlli senza problemi.
• Contesto Familiare: Gli utenti che lavorano regolarmente con piattaforme come OneDrive o SharePoint potrebbero considerare normale ricevere un invito a visualizzare o scaricare documenti. Questo li rende più vulnerabili, poiché il comportamento richiesto non appare sospetto.

Secondo il report Phishing Trends 2024, questi attacchi sono in crescita esponenziale grazie alla crescente adozione di strumenti di cloud storage nelle aziende. Inoltre, i criminali informatici stanno migliorando continuamente le loro tecniche, rendendo sempre più difficile per le vittime distinguere tra un invito legittimo e una truffa.

Come Difendersi da Questi Attacchi

Per contrastare questa nuova forma di phishing, è necessario adottare una combinazione di tecnologie di sicurezza avanzate e best practice a livello aziendale e personale. Ecco alcune strategie utili:

1. Formazione degli Utenti: È fondamentale educare i dipendenti e gli utenti a riconoscere i segnali di un potenziale attacco di phishing. Anche se un link proviene da una piattaforma legittima.
2. Autenticazione a Due Fattori (2FA): Implementare l’autenticazione a due fattori per tutti gli account aziendali riduce drasticamente la probabilità che un attacco di phishing abbia successo, anche se le credenziali vengono compromesse.
3. Monitoraggio e Controllo degli Accessi: Le aziende dovrebbero monitorare costantemente i tentativi di accesso e i comportamenti anomali degli utenti sui propri sistemi, in modo da individuare eventuali compromissioni prima che diventino dannose.
4. Sistemi di Sicurezza Avanzati: Utilizzare soluzioni di sicurezza che analizzano i contenuti dei link condivisi tramite piattaforme di file hosting può aiutare a identificare i documenti di phishing prima che vengano aperti dagli utenti.
5. Verifica del Destinatario del Link: Prima di cliccare su un link che conduce a un servizio di file hosting, è sempre consigliabile verificare con il mittente la legittimità dell’invito. Un controllo incrociato tramite canali alternativi può prevenire molte potenziali frodi.

Conclusioni

Gli attacchi di phishing che sfruttano servizi di file hosting legittimi rappresentano una delle minacce più subdole e in crescita nel panorama della cybersecurity. La fiducia che utenti e aziende ripongono in piattaforme come SharePoint, OneDrive e Dropbox viene sfruttata dai cybercriminali per superare i controlli di sicurezza e ingannare anche gli utenti più attenti. Solo attraverso una combinazione di tecnologie avanzate, una maggiore consapevolezza degli utenti e un continuo aggiornamento delle misure di sicurezza è possibile mitigare efficacemente questo tipo di minaccia.

Di seguito riportiamo alcune query suggerite da Microsoft per ricercare attività sospette:

• OneDrive o SharePoint: Questa query analizza gli eventi di condivisione per identificare file specifici condivisi da un utente con oltre 20 partecipanti, correlando questa attività a tentativi di accesso sospetti. Tale analisi è utile per rilevare movimenti laterali e attacchi Business Email Compromise (BEC).

let securelinkCreated = CloudAppEvents
    | where ActionType == "SecureLinkCreated"
    | project FileCreatedTime = Timestamp, AccountObjectId, ObjectName;
let filesCreated = securelinkCreated
    | where isnotempty(ObjectName)
    | distinct tostring(ObjectName);
CloudAppEvents
| where ActionType == "AddedToSecureLink"
| where Application in ("Microsoft SharePoint Online", "Microsoft OneDrive for Business")
| extend FileShared = tostring(RawEventData.ObjectId)
| where FileShared in (filesCreated)
| extend UserSharedWith = tostring(RawEventData.TargetUserOrGroupName)
| extend TypeofUserSharedWith = RawEventData.TargetUserOrGroupType
| where TypeofUserSharedWith == "Guest"
| where isnotempty(FileShared) and isnotempty(UserSharedWith)
| join kind=inner securelinkCreated on $left.FileShared==$right.ObjectName
// Secure file created recently (in the last 1day)
| where (Timestamp - FileCreatedTime) between (1d .. 0h)
| summarize NumofUsersSharedWith = dcount(UserSharedWith) by FileShared
| where NumofUsersSharedWith >= 20

• Dropbox: La query esamina i file condivisi su Dropbox, evidenziando quelli a cui sono stati aggiunti oltre 20 partecipanti. Questo aiuta a monitorare le condivisioni sospette e potenzialmente dannose, consentendo una migliore valutazione delle minacce.

CloudAppEvents
| where ActionType in ("Added users and/or groups to shared file/folder", "Invited user to Dropbox and added them to shared file/folder")
| where Application == "Dropbox"
| where ObjectType == "File"
| extend FileShared = tostring(ObjectName)
| where isnotempty(FileShared)
| mv-expand ActivityObjects
| where ActivityObjects.Type == "Account" and ActivityObjects.Role == "To"
| extend SharedBy = AccountId
| extend UserSharedWith = tostring(ActivityObjects.Name)
| summarize dcount(UserSharedWith) by FileShared, AccountObjectId
| where dcount_UserSharedWith >= 20