Check Point ha identificato una significativa campagna di phishing in cui i cyber criminali, commettendo abuso di affidabili piattaforme SaaS (software-as-a-service) su larga scala, hanno spedito esche, all’apparenza autentiche e legittime, per effettuare truffe telefoniche.

“Negli attacchi di social engineering, ridurre al minimo gli Indicatori di Compromissione o, addirittura, azzerarli, sfruttando sistemi legittimi, rappresenta un’opportunità estremamente allettante perché consente da un lato di aumentare, fino a massimizzare, le probabilità di eludere i sistemi di protezione, dall’altro di potenziare i connotati di affidabilità, credibilità e autenticità, formidabili leve psicologiche e comportamentali”, commenta Enrico Morisi, Ict Security manager.

“Poiché i servizi cloud continuano a dominare la comunicazione aziendale, i difensori devono riconoscere che le e-mail dall’aspetto autentico provenienti da marchi affidabili non sono intrinsecamente sicure e devono tenere conto dell’abuso contestuale di servizi legittimi”, avverte David Gubiani, Regional Director Security Engineering, EMEA Southern e Israele per Check Point Software Technologies.

Ecco come proteggersi.

Abuso del SaaS: la portata del fenomeno

La campagna di abuso del SaaS conta circa 133.260 mail di phishing, impattando su 20.049 aziende. Ma gli attaccanti sfruttano brand noti e flussi di lavoro cloud nativi al fine di massimizzare la consegna, la credibilità e la portata.

Invece di effettuare falsificazione di domini o compromissioni di servizi, gli aggressori sono riusciti ad effettuari abusi delle funzionalità native della piattaforma SaaS, per creare e diffondere mail, che assomigliano alle normali notifiche di servizio, captando la fiducia, la reputazione e l’autenticità di noti fornitori SaaS.

I marchi più abusati o impersonati comprewndono Amazon, Malwarebytes, PayPal, YouTube, Microsoft e Zoom.

“L’abuso, senza compromissione, di sistemi SaaS ampiamente diffusi sul mercato e a livello aziendale, richiama gli attacchi di tipo LOTL (Living Off The Land) e conferisce al fenomeno un potenziale di enorme scalabilità, rendendolo estremamente vantaggioso e appetibile sul piano economico, e riducendo significativamente le barriere tecnologiche e organizzative di accesso per sferrare attacchi di social engineering”, mette in guardia Enrico Morisi.

L’accelerazione degli ultimi mesi

Il phishing basato sull’abuso del SaaS vede un’accelerazione:

· ultimi 6 mesi: ~648.291 e-mail di phishing che hanno colpito ~36.845 aziende

· ultimi 3 mesi: ~463.773 e-mail di phishing che hanno colpito ~32.482 aziende.

Integrando contenuti fasulli nei campi sotto il controllo dell’utente, in seguito visualizzati nelle notifiche prodotte dal sistema, gli aggressori ottengono mail provenienti da domini con una certa reputation, riuscendo a superare i controlli di autenticazione e sembrano simili alle comunicazioni di routine del servizio. Si riduce così sia il rilevamento automatico che il sospetto degli utenti.

“La crescente dipendenza dalle esche telefoniche supporta ulteriormente questo cambiamento”, dichiara David Gubiani, Regional Director Security Engineering, EMEA Southern e Israele per Check Point Software Technologies: “Indirizzando le vittime a chiamare numeri controllati dagli attaccanti, le campagne riescono a bypassare l’analisi degli URL, il sandboxing e i sistemi di reputazione dei link, trasferendo la fase finale dell’attacco al social engineering vocale. La concentrazione dell’attività nell’ultimo trimestre suggerisce, inoltre, che gli attaccanti considerano l’abuso del SaaS come un meccanismo di distribuzione scalabile e a basso attrito che offre un elevato ritorno sull’investimento, in particolare quando si sfruttano piattaforme aziendali ampiamente utilizzate come Microsoft, Zoom e Amazon”.

Le tre modalità di abuso del SaaS

Tre metodi di abuso del SaaS invitano le vittime a telefonare a numeri di telefono sotto il controllo dei cyber criminali invece di effettuare click su link melevoli:

• abuso della generazione legittima di email SaaS, combinato con la ridistribuzione automatizzata (sfruttando Zoom);
• abuso dell’account Microsoft, dell’abbonamento, dell’Entra ID e dei flussi di lavoro di notifica di Power BI;
• abuso dei flussi di lavoro di invito di Amazon Business.

Le mail in genere si riferiscono ad abbonamenti, a eventuali modifiche dell’account o al potenziale acquisto di prodotti, inducendo i destinatari a effettuare chiamate ai numeri di assistenza controllati dagli aggressori.

L’approccio evita i link dannosi, spostando la fase finale dell’attacco al social engineering vocale, sfruttando la fiducia degli utenti nelle notifiche targate Microsoft per bypassare un rilevamento focalizzato sui collegamenti e i sospetti degli utenti.

“La tattica di spostare le comunicazioni su canali differenti, meno o per nulla protetti, come per esempio quello telefonico, è particolarmente efficace ed estremamente pericolosa, anche perché si tratta di media tipicamente considerati più affidabili, tanto da essere utilizzati per condurre verifiche e approfondimenti su attacchi in corso”, avverte Enrico Morisi.

Come protgeggersi da tattiche come l’abuso del Saas

Gli ambienti educativi e aziendali, esposti a un alto rischio a causa del volume crescente di notifiche e della saturazione della fiducia, soprattutto per i servizi di collaborazione in cui i messaggi urgenti o amministrativi sono frequenti, devono puntare su consapevolezza, formazione e simulazioni.

Sono necessarie strategie di rilevamento che prendano in esame il rischio dell’abuso contestuale di servizi Saas legittimi piuttosto che dei soli indicatori classici.

“Il venir meno degli indicatori di compromissione, il ricorso a piattaforme SaaS legittime, molto diffuse e caratterizzate da elevata reputazione, e la tattica di spostare le comunicazioni su canali alternativi, come quello telefonico, richiedono un cambio di paradigma nella strategia di difesa, per quanto riguarda la gestione del rischio umano: una continua ed attenta valutazione del contesto, l’introduzione di rigorosi workflow approvativi nei processi più critici, come quelli di pagamento, e l’adozione di principi Zero Trust, come il ‘never trust always verify’”, conclude Enrico Morisi.