Phishing contro Microsoft Teams: tentativi di furto di credenziali

La società di sicurezza Abnormal Security ha individuato una campagna di phishing rivolta verso gli utenti di Microsoft Teams che ha lo scopo di sottrarre le credenziali dell'ecosistema Office 365 di utenti aziendali. Quanto riscontrato da Abnormal Security è solo l'ultimo episodio di una ampia serie di minacce alla sicurezza informatica scaturite a seguito della diffusione della pandemia COVID-19 e delle conseguenti misure di distanziamento sociale che hanno portato moltissima forza lavoro in tutto il mondo a dover adottare dinamiche di smart working, con l'instaurarsi di nuove abitudini.

Si tratterebbe di un attacco particolarmente efficace perché condotto in maniera molto rigorosa, tramite email e landing page create accuratamente per risultare identiche di fatto alle controparti legittime. I ricercatori hanno riscontrato l'uso di immagini copiate da quelle originali usate da Microsoft e l'impiego di una serie di URL registrati di recente che cercano di ingannare il destinatario dell'email di phishing. Per esempio uno dei domini utilizzati contiene le parole SharePoint e IRS, per dare l'impressione di autenticità e per far credere che la mail faccia parte delle notifiche ufficiali di Microsoft Teams.

Le credenziali di Microsoft Teams sono collegate ad Office 365: massima attenzione!

Per condurre la vittima alla pagina contraffatta di login gli attaccanti hanno poi messo in campo svariate istanze di reindirizzamento così da cercare di bypassare le contromisure di link detection utilizzate dai sistemi di protezione email. In un esempio di attacco, una email continene un link ad un documento ospitato su un dominio usato da un noto provider di servizi di email marketing: all'intero di questo documento si trova un'immagine che spinge la vittima ad effettuare il login in Microsoft Teams ma una volta che si clicca sull'immagine, si viene condotti ad una pagina compromessa che imita la pagina di login di Office 365. In un altro esempio, invece, il reindirizzamento è ospitato su YouTube, e tramite due ulteriori passaggi porta alla pagina finale che mostra un altro login fasullo.

Nel caso in cui si cadesse nel tranello teso dagli attaccanti, le credenziali del proprio account risulterebbero compromesse e, dal momento che Microsoft Teams è collegato a Office 365, gli attaccanti potrebbero avere accesso ad altre informazioni e risorse disponibili con le credenziali dell'utente.

L'attacco risulta, come detto, efficace per via dell'accuratezza con cui sono creati i materiali fuorvianti, e anche per il particolare periodo che stiamo vivendo: con la crescita delle pratiche di smart working si diventa un po' meno attenti alle richieste di login, abbassando la guardia e innalzando rischio di vulnerabilità.