Nelle prime due settimane di settembre sono stati registrati ben 5.550 attacchi phishing che hanno preso di mira Dropbox. I ricercatori di Check Point Harmony, dopo aver analizzato la situazione, hanno individuato l’utilizzo di social engineering con dominio Dropbox come strategia dei criminali informatici per sollecitare una risposta da parte dell’ignara vittima, che cliccando consegna loro le proprie credenziali.
Gli autori di questo attacco utilizzano Dropbox per creare pagine fake di login che indirizzano a una pagina di raccolta delle credenziali. Si tratta di un altro esempio di come vengano utilizzati servizi legittimi con scopi malevoli. Questa fattispecie di attacchi si chiama Bec 3.0, una sigla che Business Email Compromise 3.0 e si riferisce all'utilizzo di siti legittimi, come Dropbox, per inviare e ospitare materiale di phishing.
Questo tipo di attacchi sono in aumento e i cybercriminali utilizzano tutti i più popolari siti di produttività, tra i quali: Google, Dropbox, QuickBooks, PayPal e altri ancora. Si tratta di una delle innovazioni più scaltre mai elaborate dai criminali informatici e, nella considerazione della sua vasta portata, anche una delle più comuni ed efficaci. A seguito di questa scoperta, i ricercatori di Check Point hanno contattato Dropbox per informarli di questa campagna.
L’attacco
In questo attacco vengono utilizzati i documenti Dropbox per ospitare siti di raccolta delle credenziali. In un esempio, l’attacco comincia proprio dall’invio di un'e-mail proveniente direttamente da Dropbox.
Si tratta di un'e-mail standard che chiunque riceverebbe da Dropbox, la quale notifica la presenza di un documento da visualizzare. Da qual momento, la persona viene indirizzata ad una pagina Dropbox autentica:
Sebbene il contenuto sia identico a una pagina OneDrive, l'URL è ospitato su Dropbox.
Quando si fa clic su “Ottieni documento”, l'utente viene indirizzato a questa pagina finale, quella della raccolta delle credenziali. Questa è la pagina ospitata al di fuori di Dropbox, a cui i criminali informatici vogliono indirizzare le ingnare vittime per sottrargli le credenziali.
Le tecniche
La compromissione delle e-mail aziendali ha subito un'evoluzione piuttosto rapida. Solo pochi anni avevamo a che fare con le cosiddette truffe Gift Card. Si trattava di e-mail che fingevano di provenire da un amministratore delegato o da un dirigente aziendale, chiedendo a un dipendente di acquistare carte regalo. L'idea alla base è che gli hacker avrebbero poi utilizzato le carte regalo per scopi personali. Queste e-mail provenivano in genere da indirizzi Gmail contraffatti: come per esempio Ceo@gmail.com, non da Ceo@company.com. Si potevano anche impersonare domini e partner, ma si trattava sempre di contraffazioni. L'evoluzione successiva è stata quella degli account compromessi. Questi attacchi sono ancora più difficili da identificare poiché provengono da un indirizzo legittimo, ma in questo caso è incluso un link a una falsa pagina di accesso a Office 365 o un linguaggio stentato che il Natural Language Processing (Nlp) può rilevare. Oggi abbiamo i Bec 3.0, che sono attacchi provenienti da servizi legittimi. L'Nlp in questo caso non è efficace, in quanto il linguaggio proviene direttamente da servizi legittimi e non viene rilevato nulla di anomalo. Nemmeno la scansione degli Url può essere utile, poiché indirizza il malcapitato verso un sito Dropbox o un altro sito legittimo. Per questi motivi, gli attacchi Bec 3.0 sono incredibilmente difficili da bloccare e identificare, sia per i servizi di sicurezza che per gli utenti finali e sono infatti sempre più frequenti e aggressivi.
Per difendersi da questo tipo di attacchi, Check Point ci fornisce alcuni consigli e raccomandazioni:
- adottare una tecnologia dotata di intelligenza artificiale in grado di analizzare e identificare numerosi indicatori di phishing, per sventare in modo proattivo attacchi complessi;
- adottare una soluzione di sicurezza completa che includa funzionalità di scansione di documenti e file;
- implementare un efficace sistema di protezione degli Url che effettua scansioni approfondite ed emula le pagine web per una maggiore sicurezza.