Falsi supporti tecnici su Teams: la nuova frontiera degli attacchi informatici Recentemente, esperti di sicurezza informatica di Microsoft hanno avvertito riguardo a un incremento preoccupante degli attacchi informatici mirati alle aziende attraverso la piattaforma Teams. I malintenzionati si fingono tecnici…
Falsi supporti tecnici su Teams: la nuova frontiera degli attacchi informatici
Recentemente, esperti di sicurezza informatica di Microsoft hanno avvertito riguardo a un incremento preoccupante degli attacchi informatici mirati alle aziende attraverso la piattaforma Teams. I malintenzionati si fingono tecnici dell’IT o membri del supporto per indurre i dipendenti a disattivare le misure di sicurezza e a installare software di accesso remoto, compromettendo così dati sensibili. In risposta a questa minaccia crescente, l’azienda di Redmond ha fornito un elenco esaustivo di misure preventive.
Dinamiche dell’attacco tramite falso helpdesk
Microsoft Teams offre vari strumenti per garantire la sicurezza, specialmente nei rapporti con contatti esterni. Tuttavia, i cybercriminali hanno trovato metodi efficaci per infiltrarsi nei sistemi aziendali sfruttando la buona fede dei dipendenti. Uno dei trucchi più utilizzati è quello di impersonare il supporto tecnico. In questo modo, riescono a convincere le vittime a ignorare gli avvisi di allerta durante le interazioni.
Spesso, i messaggi fraudolenti sembrano provenire proprio dallo staff IT dell’impresa e chiedono di avviare una sessione di accesso remoto, frequentemente attraverso strumenti come Quick Assist. I criminali si presentano come aiutanti che devono risolvere un problema all’account o installare patch di sicurezza. Una volta ottenuto l’accesso, i malfattori eseguono comandi legittimi di Windows per raccogliere informazioni cruciali, come la versione del sistema operativo, i dettagli della rete e i privilegi dell’utente.
Un processo subdolo e veloce
A questo stadio, i cybercriminali avviano installazioni di malware utilizzando la strategia del DLL sideloading e apportano modifiche al registro di sistema per garantire la loro persistenza. Successivamente, si stabilisce una connessione con un server di comando e controllo (C2). Utilizzando il Windows Remote Management (WinRM), i malintenzionati possono facilmente propagarsi ad altri sistemi all’interno dell’azienda.
Per aumentare le loro possibilità di successo, installano ulteriori strumenti di gestione remota che possono sostituire il payload iniziale nel caso in cui venga rilevato. Infine, strumenti come Rclone vengono utilizzati per trasferire dati dalla rete aziendale a soluzioni di cloud storage esterno. Per ridurre il rischio di essere scoperti, i criminali esfiltrano solo determinati tipi di file, limitando così il traffico in uscita. Tutte queste operazioni vengono eseguite in tempi molto rapidi, spesso nell’arco di poche ore.
Riflessioni e raccomandazioni
La crescita di tali attacchi non rappresenta solo una minaccia per le aziende italiane, ma per l’intero ecosistema digitale. In un periodo di incertezze economiche, il furto di dati sensibili può avere ripercussioni significative, compromettendo non solo la reputazione aziendale ma anche la fiducia da parte dei clienti.
Per proteggersi, è fondamentale che le aziende investano nella formazione dei propri dipendenti riguardo le minacce informatiche. Creare una cultura della sicurezza e fornire strumenti adeguati di identificazione delle potenziali frodi è indispensabile. Microsoft, ad esempio, suggerisce di verificare sempre l’identità di chi richiede l’accesso remoto e di mantenere attivi gli avvisi di sicurezza della piattaforma.
In conclusione, la vigilanza e l’educazione sono le chiavi per prevenire queste insidie. Le aziende italiane devono rimanere all’erta e adottare pratiche di cybersecurity più robuste per difendersi dalla crescente minaccia dei cyber attacchi, sfruttando ogni risorsa disponibile per proteggere i propri dati e il proprio personale.
