Recentemente la piattaforma Microsoft Teams ha dovuto fare i conti con un attacco phishing che ha cercato di rubare le credenziali di accesso di Office 365.

La tecnica del phishing è sempre identica, si riceve una e-mail che ci invita a cliccare su un link (malevolo) o a visionare file che nascondono malware ed ecco che “regaliamo” i nostri dati sensibili ai cyber criminali.

Gli attacchi sono stati due e pare abbiano preso di mira 50.000 utenti di Microsoft Teams la piattaforma che, durante l’emergenza sanitaria, ha raggiunto oltre 75 milioni di utenti attivi al giorno. Tra questi, circa 10 milioni sono utenti che prima della crisi sanitaria non hanno mai utilizzato la piattaforma ed è chiaro che l’attacco ha cercato di raggiungere tutti gli utenti che non risultano essere esperti in materia,  facilmente ingannabili da una “semplice” e-mail che ha tutte le caratteristiche per essere considerata “originale”.

L’abilità utilizzata dai cyber criminali nel primo attacco è stata quella di sfruttare le notifiche automatizzate, utilizzando immagini clonate degli avvisi e invitando gli utenti a inserire le proprie credenziali di Office 365.

L’ultimo attacco è stato condotto attraverso e-mail di phishing con all’interno un link che puntava a una pagina YouTube, da cui gli utenti venivano reindirizzati su una landing page su cui appariva una versione clonata del modulo di accesso a Office 365.

A rendere tutto credibile è stato l’utilizzo di immagini reali utilizzate da Microsoft che convincono la vittima a pensare che l’e-mail sia reale.

Le campagne phishing hanno destato preoccupazione e attirato l’attenzione della Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento della Sicurezza Nazionale degli Stati Uniti.

L'ente ha emesso un avvertimento per sollecitare l'adozione delle "migliori pratiche di sicurezza per quanto riguarda l'implementazione di Office 365" per abbassare le vulnerabilità agli attacchi.

Abnormal Security, che ha scoperto per prima l’attacco, sostiene: “Le email e la pagina a cui si viene indirizzati sono molto convincenti. La pagina web e il link diretto nella mail sono visualmente identici a quelli originali di Microsoft Teams e la pagina di login di Microsoft.”

Questi tipi di attacchi sono molto diffusi perché, sfruttando l’interazione dell’utente, rubano dati o sfruttano vulnerabilità esistenti. Infatti, in questo caso, è proprio l’utente a consegnare ai cyber criminali tutti i suoi dati sensibili attraverso l’inserimento delle sue credenziali sulla pagina irreale di login.

Allo stato attuale, Microsoft Teams è stato recentemente aggiornato per correggere la vulneravilità.

Tweet