Il 24 febbraio i ricercatori del team di Odix hanno individuato una estesa campagna di phishing attuata attraverso un allegato HTML che simulava una pagina di login Microsoft.
Nulla di strano fin qui, considerato che Microsoft è la piattaforma maggiormente utilizzata per le campagne di phishing. Analizzando attentamente il link adoperato in questa campagna, gli esperti di Odix si sono però accorti che questo sfruttava la funzionalità Link sicuri (Safelinks) di Microsoft Defender per Office 365 per rubare informazioni personali degli utenti, cosa effettivamente sorprendente.
Cosa è la funzionalità Link sicuri di Microsoft?
Facciamo un passo indietro e spieghiamo cos’è e come funziona Link sicuri. Si tratta di una funzionalità di Microsoft Defender per Office 365 che fornisce l’analisi dei link nei messaggi di posta elettronica in ingresso e la verifica del time-of-click degli URL e dei link contenuti nelle email. Dunque la scansione Link Sicuri può aiutare a proteggere l’utente da link malevoli che sono utilizzati nelle campagne di phishing e in altri tipi di attacchi.
Come si è svolta questa campagna di phishing?
Le organizzazioni che usano la funzionalità Link Sicuri devono impostare i filtri per autorizzare il traffico di questi URL affinché gli utenti possano utilizzare il servizio. Utilizzando un URL simile, gli aggressori possono però trarre vantaggio dal criterio di autorizzazione nel filtro web destinato ai Link sicuri.
Nel caso di questa campagna, il form HTML utilizzato dai cybercriminali utilizzava le credenziali inserite dall’utente su un URL simile a quello generato da Link sicuri, molto probabilmente creato per aggirare le regole di filtraggio, come nell’esempio in basso:
URL generato attraverso la funzionalità Link sicuri
https://eur02[.]safelinks[.]protection[.]outlook[.]com
URL contenente le credenziali dell’utente, utilizzato nella campagna di phishing
http://euro2[.]safelinks[.]protection[.][.]mkanet[.]com[.]br
Come proteggere la posta elettronica dai tentativi di phishing
Gli esperti di Odix ricordano che, per garantire che il gateway di posta elettronica sia pronto a difendersi da rischi informatici noti e sconosciuti è importante seguire alcune regole, come aggiornare regolarmente le impostazioni di sicurezza e applicare le patch, formare il personale sulle minacce più comuni, utilizzare i migliori prodotti legacy per la sicurezza informatica ma tenere anche gli occhi aperti su soluzioni tecnologiche innovative.
FileWall™ di Odix offre un plug-in efficace basato sul suo algoritmo brevettato per eliminare i malware nascosti nei file. Invece di cercare di rilevare un malware noto e bloccare il file, FileWall™ disarma il malware e fornisce un file pulito per un utilizzo sicuro. FileWall™ rappresenta un'efficace soluzione di prevenzione del malware contro attacchi noti e sconosciuti e gestisce tutto il traffico di posta elettronica in entrata, comprese le email interne.
Fonte notizia
www.odi-x.com attackers-mimic-microsoft-safelinks-urls-in-phishing-campaign