Il Phishing Evoluto di Microsoft 365: Attenzione al Nuovo Pericolo

Negli ultimi anni, il panorama della cyber-sicurezza ha assistito a un’evoluzione dei metodi di attacco, e il phishing non fa eccezione. Un nuovo servizio, noto come Kali365, si sta facendo strada nel mercato del phishing-as-a-service, portando a una preoccupante innovazione: il furto di accessi a account Microsoft 365 e Microsoft Entra non richiede più l’intercettazione diretta della password. Questo cambio di paradigma avviene attraverso meccanismi che sfruttano il flusso di login per dispositivi con input limitato, creando opportunità per attacchi sempre più subdoli.

Il Flusso OAuth alle Origini dell’Attacco

Il meccanismo attaccato da Kali365 è il OAuth device code, un sistema progettato per facilitare l’accesso a dispositivi privi di interfacce comode da utilizzare, come smart TV o stampanti. In questo contesto, l’attaccante può avviare una procedura di accesso e ottenere un codice da far completare alla vittima sulla piattaforma legittima di Microsoft. Se l’utente, ignaro del pericolo, inserisce il codice e supera la verifica multi-fattore (MFA), l’attaccante riceve un token che gli consente di accedere all’account.

A differenza dei metodi di phishing tradizionali, l’aggressore non ha bisogno di entrare in possesso della password. Quella che viene “ottenuta” è in realtà l’approvazione dell’utente, che apre le porte a funzioni sensibili come la lettura delle email o la creazione di regole nelle caselle di posta. In alcuni casi, gli attaccanti hanno persino registrato nuovi dispositivi nei sistemi Microsoft delle vittime, amplificando il rischio.

Verso una Maggiore Accessibilità per gli Attaccanti

Kali365 non solo semplifica l’attacco, ma lo rende anche più accessibile. Pubblicizzato attraverso canali Telegram, offre strumenti e risorse che richiedevano in passato competenze avanzate. Tra cui template per campagne di phishing e meccanismi di tracciamento in tempo reale che consentono di monitorare le vittime. La presenza di intelligenza artificiale, utilizzata per generare messaggi di invito sempre più credibili, rappresenta un’altra minaccia, rendendo questa tipologia di attacco un’esperienza disarmante per molti utenti.

La piattaforma non si limita solo all’uso del flusso device code. Introduce anche un attacco noto come Cookie Link, dove il malintenzionato si interpone tra la vittima e un servizio legittimo, riuscendo a catturare cookie e sessioni web già autenticate. Questa duplice strategia crea un rischio considerevole, in quanto sfrutta sia flussi legittimi che sessioni già confermate.

Strategie di Difesa per le Aziende Italiane

Come può affrontare questo nuovo nemico il panorama aziendale italiano? Le contromisure più efficaci sono di natura amministrativa. Le aziende possono adottare misure di Accesso Condizionale per limitare o bloccare l’uso dei flussi di accesso con codice per i dispositivi. È essenziale condurre un’analisi approfondita delle necessità aziendali riguardo all’uso di questi flussi, monitorando nel contempo registrazioni di dispositivi sospetti.

Nonostante l’importanza dell’autenticazione a più fattori (MFA), è fondamentale considerare il contesto delle richieste. È essenziale valutare l’origine della richiesta, l’applicazione coinvolta e il dispositivo da cui avviene l’accesso. Poiché un singolo accesso cloud può aprire le porte a una vasta gamma di servizi, il consenso dell’utente può rivelarsi più dannoso di una password compromessa.

Conclusione: Una Nuova Era di Sicurezza Cibernetica

In un panorama digitale sempre più complesso, le aziende e gli utenti italiani devono adottare un approccio proattivo alla sicurezza informatica. È cruciale migliorare la consapevolezza riguardo ai nuovi metodi di attacco e implementare misure di sicurezza che non si limitino a proteggere le password. La formazione continua è fondamentale per prepararsi a queste minacce, trasformando la prassi di sicurezza in un vero e proprio scudo contro il phishing evoluto.