Bentornato alla nostra serie “La neutralizzazione degli attacchi informatici del mese”. In questi articoli del blog, esploriamo le tattiche in costante evoluzione dei criminali informatici attuali. Ci concentriamo inoltre sui primi passi fondamentali nella catena d’attacco - ricognizione e violazione iniziale - in particolare nel contesto delle minacce email.
L’intento di questa serie è di aiutarti a comprendere come rafforzare le tue difese, per proteggerti dalle minacce emergenti nell’attuale mondo digitale dinamico.
Nel nostro articolo precedente, abbiamo parlato di attacchi BEC e alla supply chain. In questo articolo, prendiamo in esame una minaccia insidiosa nota come EvilProxy.
Lo scenario
Nel corso di una delle nostre recenti valutazioni delle minacce email, abbiamo scoperto che un cliente nel settore della tecnologia con 1.500 clienti è stato esposto a EvilProxy. Tale minaccia non è stata rilevata da una soluzione di sicurezza dell’email esistente.
Cos’è EvilProxy? EvilProxy è un toolkit di phishing che permette di rubare le credenziali di accesso degli utenti e i token di autenticazione a più fattori (MFA). Si interpone tra l'obiettivo e una pagina web legittima.
Quando la vittima si collega a una pagina di phishing, visualizza una pagina di login fasulla che sembra e funziona come il portale d’accesso reale. EvilProxy cattura le credenziali d’accesso dell’utente e il token della sessione di autenticazione. Il criminale informatico può quindi collegarsi a nome dell’utente, eludendo le protezioni MFA.
La minaccia: come si è svolto l’attacco?
Esaminiamo più da vicino come si è svolto l’attacco:
1. Il messaggio ingannevole: l’attacco è iniziato con un’email che sembrava un avviso DocuSign legittimo che richiedeva la firma di un documento. Questo messaggio apparentemente innocuo era in realtà la porta d’accesso a un sofisticato attacco informatico.
L’email ingannevole iniziale ricevuta dal cliente.
2. L’URL dannoso: quando le vittime hanno fatto clic sull'URL incorporato nell'email, sono state indirizzate alla loro pagina di login Microsoft, sulla quale era stato configurato il proxy del criminale informatico. Con questa pagina, i criminali informatici speravano di convincere gli utenti a digitare spontaneamente le loro credenziali d’accesso.
La pagina di accesso Microsoft dannosa.
3. La struttura di phishing EvilProxy: la struttura di phishing di EvilProxy è stato il motore di questo attacco. I criminali informatici hanno utilizzato una tecnica di proxy inverso per intercettare i tentativi di accesso degli utenti attraverso la loro pagina di accesso Microsoft. In questo modo hanno potuto estrarre segretamente i codici MFA e le credenziali di accesso degli utenti.
4. L’elusione della verifica MFA: una volta in possesso dei codici di autenticazione a più fattori e delle credenziali di accesso, i criminali informatici hanno potuto accedere liberamente agli account compromessi. Hanno ottenuto il pieno controllo eludendo la verifica MFA, rappresentando una grave minaccia per l'azienda tecnologica e i suoi 1.500 utenti finali.
Rilevamento: Proofpoint come ha rilevato l’attacco?
EvilProxy e le altre minacce che eludono l’autenticazione a più fattori si stanno moltiplicando poiché i criminali informatici si adattano ai controlli di sicurezza rafforzati. I metodi tradizionali, come l’analisi della reputazione degli indirizzi IP e degli URL, non sono sufficienti per bloccare queste minacce.
Proofpoint utilizza il machine learning avanzato per identificare i comportamenti e le caratteristiche dei messaggi che si trovano spesso negli attacchi di phishing delle credenziali d’accesso. Inoltre analizziamo i messaggi in ambiente sandbox e li ispezioniamo a fondo per individuare modelli di reindirizzamento degli URL dannosi e strutture EvilProxy.
Rilevamento degli URL dannosi in Proofpoint e la catena di reindirizzamento.
Rilevamento della struttura di phishing EvilProxy in Proofpoint.
Applicazione di misure correttive: lezioni apprese
Per contrastare le minacce come EvilProxy, è fondamentale implementare misure proattive come le seguenti:
- Formazione degli utenti: i tuoi collaboratori e i tuoi clienti sono la tua prima linea di difesa. Assicurati che ricevano una formazione di sensibilizzazione alla sicurezza informatica su tutti i tipi di attacchi di phishing, comprese le email ingannevoli e le pagine di login fraudolente. In questo modo riduci significativamente i rischi di violazione.
- Solida sicurezza dell’email: Le soluzioni avanzate di sicurezza dell’email possono rilevare e bloccare i tentativi di phishing prima che raggiungano le caselle email degli utenti. Scegli una soluzione che utilizza algoritmi di machine learning per identificare e neutralizzare queste minacce, come la piattaforma di rilevamento delle minacce di Proofpoint.
- Sicurezza del cloud: Una piattaforma efficace di sicurezza del cloud è in grado di identificare gli attacchi di takeover degli account e prevenire l'accesso non autorizzato alle tue risorse cloud sensibili. Copre sia le attività iniziali che quelle successive alla violazione. Inoltre, permette al tuo team della sicurezza di stabilire quali servizi e applicazioni vengono sfruttati dai criminali informatici. Assicurati di scegliere una soluzione che automatizza l’applicazione delle misure correttive. In questo modo si riduce il tempo di permanenza dei criminali informatici e si minimizzano i danni.
- Protezione della supply chain: proteggi la tua supply chain dagli attacchi trasmessi tramite email. Proofpoint Supplier Threat Protection sfrutta un’intelligenza artificiale avanzata e le informazioni di threat intelligence più recenti per rilevare gli account dei fornitori compromessi e prioritizzare gli account su cui dovrebbero essere svolte delle indagini.
- Autenticazione a più livelli (MFA): Solide misure di autenticazione, come l’autenticazione a più fattori, possono migliorare notevolmente il tuo livello di sicurezza. Tuttavia, ricorda che lo scenario che abbiamo appena presentato mostra come le soluzioni MFA tradizionali possono essere inefficaci. Per questo motivo è importante utilizzare strumenti automatizzati di protezione contro il takeover degli account, in grado di neutralizzare rapidamente questo tipo di incidenti.
- Valutazioni delle minacce attive: Rimani aggiornato sulle nuove minacce. Valutazioni regolari delle minacce possono aiutarti a identificare le vulnerabilità della tua azienda e a migliorare le tue capacità di risposta agli incidenti.
Protezione di Proofpoint TAP Account Takeover
Con Proofpoint TAP Account Takeover (TAP ATO), estendiamo le capacità avanzate di rilevamento delle minacce della nostra soluzione Proofpoint Targeted Attack Protection (TAP). Utilizziamo l'intelligenza artificiale, le informazioni di threat intelligence correlate e l'analisi comportamentale per rilevare e neutralizzare automaticamente i seguenti elementi:
- Account compromessi
- Modifiche dannose delle regole delle caselle email
- Applicazioni di terze parti autorizzate
- Condivisione eccessiva di file sensibili da parte dei criminali informatici
Proofpoint TAP ATO riduce i tempi di attesa grazie a un'ampia gamma di opzioni di correzione. Accelera la risposta correlando gli eventi e delineando l'intera sequenza dell'attacco. Una risposta tempestiva è essenziale perché i criminali informatici trovano sempre nuovi metodi per accedere agli account degli utenti. Per esempio:
- Minacce come EvilProxy
- Riciclaggio delle password
- Violazioni dei dati
- Attacchi di forza bruta
- Token di accesso persistente
Proofpoint TAP APO può aiutare il tuo team a indagare sulle attività dannose e rispondere più velocemente alle minacce, per limitare i rischi per la tua azienda.
Proofpoint contribuisce a interrompere la catena d’attacco
La minaccia EvilProxy evidenzia perché è così importante disporre di solide misure di sicurezza informatica. Le attuali minacce informatiche sofisticare possono essere bloccare dalle aziende solo se queste ultime rimangono vigili e adottano difese proattive per proteggere se stesse e i propri clienti. Un altro passo importante consiste nell'implementazione di tecnologie all'avanguardia e la collaborazione con partner di fiducia per la sicurezza informatica, come Proofpoint.
Ti invitiamo a leggere i prossimi articoli di questa serie, dove continueremo a studiare le minacce più recenti, a condividere le nostre metodologie di rilevamento e altro ancora. Facendo luce sulla catena di attacco, speriamo di interromperla e di mettere le aziende in condizione di difendersi proattivamente da queste minacce emergenti.
Mantieniti informato, protetto e gioca d’anticipo
Per scoprire come proteggerti contro le minacce come EvilProxy, scarica il nostro eBook, La guida strategica definitiva sull’email security.