Sfruttata la funzionalità Link sicuri di Microsoft per una campagna di phishing

Sfruttata la funzionalità Link sicuri di Microsoft per una campagna di phishing

            I consigli degli esperti di Odix per proteggere la posta elettronica da attacchi indesiderati

Il 24 febbraio i ricercatori del team di Odix hanno individuato una estesa campagna di phishing attuata attraverso un allegato HTML che simulava una pagina di login Microsoft.

Nulla di strano fin qui, considerato che Microsoft è la piattaforma maggiormente utilizzata per le campagne di phishing.

Analizzando attentamente il link adoperato in questa campagna, gli esperti di Odix si sono però accorti che questo sfruttava la funzionalità Link sicuri (Safelinks) di Microsoft Defender per Office 365 per rubare informazioni personali degli utenti, cosa effettivamente sorprendente.

Cosa è la funzionalità Link sicuri di Microsoft?

Facciamo un passo indietro e spieghiamo cos’è e come funziona Link sicuri. Si tratta di una funzionalità di Microsoft Defender per Office 365 che fornisce l’analisi dei link nei messaggi di posta elettronica in ingresso e la verifica del time-of-click degli URL e dei link contenuti nelle email.

Dunque la scansione Link Sicuri può aiutare a proteggere l’utente da link malevoli che sono utilizzati nelle campagne di phishing e in altri tipi di attacchi.

Come si è svolta questa campagna di phishing?

Le organizzazioni che usano la funzionalità Link Sicuri devono impostare i filtri per autorizzare il traffico di questi URL affinché gli utenti possano utilizzare il servizio. Utilizzando un URL simile, gli aggressori possono però trarre vantaggio dal criterio di autorizzazione nel filtro web destinato ai Link sicuri.

Nel caso di questa campagna, il form HTML utilizzato dai cybercriminali utilizzava le credenziali inserite dall’utente su un URL simile a quello generato da Link sicuri, molto probabilmente creato per aggirare le regole di filtraggio, come nell’esempio in basso:

URL generato attraverso la funzionalità Link sicuri

https://eur02[.]safelinks[.]protection[.]outlook[.]com

URL contenente le credenziali dell’utente, utilizzato nella campagna di phishing

http://euro2[.]safelinks[.]protection[.][.]mkanet[.]com[.]br

Come proteggere la posta elettronica dai tentativi di phishing  

Gli esperti di Odix ricordano che, per garantire che il gateway di posta elettronica sia pronto a difendersi da rischi informatici noti e sconosciuti è importante seguire alcune regole, come aggiornare regolarmente le impostazioni di sicurezza e applicare le patch, formare il personale sulle minacce più comuni, utilizzare i migliori prodotti legacy per la sicurezza informatica ma tenere anche gli occhi aperti su soluzioni tecnologiche innovative. 

FileWall™ di Odix offre un plug-in efficace basato sul suo algoritmo brevettato per eliminare i malware nascosti nei file. Invece di cercare di rilevare un malware noto e bloccare il file, FileWall™ disarma il malware e fornisce un file pulito per un utilizzo sicuro. FileWall™ rappresenta un’efficace soluzione di prevenzione del malware contro attacchi noti e sconosciuti e gestisce tutto il traffico di posta elettronica in entrata, comprese le email interne. 

Per ulteriori informazioni sull’argomento è possibile collegarsi al blog di Odix al seguente link: https://www.odi-x.com/attackers-mimic-microsoft-safelinks-urls-in-phishing-campaign/

Alvise C.

Alvise C.

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento