Nell’ultimo CSIRT il focus è sul Thread Hijacking, “una campagna malevola per la compromissione di caselle di posta elettronica aziendali“. L’obiettivo è quello “di condurre frodi finanziarie di tipo Business Email Compromise (BEC)“.

Con il Thread Hijacking è possibile compromettere “caselle di posta elettronica aziendali per condurre frodi finanziarie di tipo Business Email Compromise (BEC)“. Così l’ultimo CSIRT, che ha recentemente rilevato “una campagna malevola mirata contro organizzazioni situate sul territorio nazionale“.

Non ultima la frode che ha colpito l’Opera del Duomo di Firenze, al centro di una vasta operazione internazionale di riciclaggio di denaro.

Dalle analisi preliminari è emersa “la compromissione di account di posta elettronica aziendali“. La quale è verosimilmente arrivata attraverso l’utilizzo di credenziali sottratte in precedenza. In questo caso, il furto è avvenuto tramite:

• tecniche di password spraying.
• Attacchi a dizionario.
• Campagne di phishing mirate.

Come funziona la truffa

“Una volta ottenuto l’accesso alle caselle compromesse“, si legge nel CSIRT, “gli attori malevoli non agiscono immediatamente, ma monitorano le conversazioni per individuare scambi commerciali pendenti“.

Sfruttando tale contesto, questi ricorrono “alla tecnica di Email Thread Hijacking, inserendosi in dialoghi legittimi tra l’organizzazione e i propri clienti o partner“. Da qui, anche la dicitura “man in the middle“, proprio per il fatto che gli hacker criminali si inseriscano tra le parti.

Qual è l’obiettivo dell’azione illecita?

L’obiettivo identificato si concretizza nella realizzazione di una complessa frode finanziaria, “attuata mediante la trasmissione di istruzioni di pagamento opportunamente predisposte“.

Lo scopo è quello di dirottare indebitamente trasferimenti di denaro verso coordinate bancarie (IBAN) estere, “riconducibili agli attori della minaccia“.

Azioni di mitigazione

Nel bollettino CSIRT si elencano per gli utenti e le organizzazioni una serie di indicazioni volte a fronteggiare questa tipologia di attacchi. In primo luogo, è fondamentale il controllo scrupoloso di ogni e-email ricevuta. Dopodiché, si passa all’attivazione di una serie di misure. Ossia:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese.
• Non accedere a collegamenti Internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa.
• Accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso.
• Provvedere all’immediata rotazione delle credenziali di accesso per tutte le utenze coinvolte o sospette. Si garantisca, al contempo, l’adozione di criteri di complessità adeguati in linea con le policy di sicurezza vigenti.
• Implementare e rendere mandatori meccanismi di autenticazione forte (Multi-Factor Authentication) a presidio di tutti gli account di posta elettronica. Il fine è quello di mitigare il rischio derivante dalla compromissione delle sole password.
• Effettuare una puntuale verifica delle configurazioni delle caselle di posta. Il tutto, con specifico riferimento all’identificazione e alla rimozione di regole di inoltro automatico o di archiviazione non esplicitamente autorizzate dall’utente.
• Adottare procedure di verifica “fuori banda” (es. contatto telefonico diretto su numerazioni preesistenti) a fronte di qualsivoglia richiesta di variazione delle coordinate bancarie (IBAN). Questo, anche qualora la comunicazione appaia provenire da interlocutori fiduciari.

Per approfondire

• Leggi il rapporto “Thread Hijacking: rilevate attività malevole tramite caselle compromesse“.
• Change log.

Vai al sito di Cybersecurity Italia.

L'articolo Thread Hijacking, come funziona la truffa online che compromette le caselle di posta sembra essere il primo su CyberSecurity Italia.