Impatto Sistemico

Critico (75.0)

Sintesi

Questo CSIRT ha recentemente rilevato una campagna malevola mirata verso organizzazioni situate sul territorio nazionale. Gli attaccanti hanno provveduto alla compromissione di caselle di posta elettronica aziendali per condurre frodi finanziarie di tipo Business Email Compromise (BEC).

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna malevola mirata verso organizzazioni situate sul territorio nazionale.

Le analisi preliminari hanno evidenziato la compromissione di account di posta elettronica aziendali, verosimilmente ottenute attraverso l’utilizzo di credenziali sottratte in precedenza tramite:

• tecniche di password spraying;
• attacchi a dizionario;
• campagne di phishing mirate.

Una volta ottenuto l’accesso alle caselle compromesse, gli attori malevoli non agiscono immediatamente, ma monitorano le conversazioni per individuare scambi commerciali pendenti. Sfruttando tale contesto, ricorrono alla tecnica di Email Thread Hijacking, inserendosi in dialoghi legittimi tra l’organizzazione e i propri clienti o partner.

L’obiettivo identificato si concretizza nella realizzazione di una complessa frode finanziaria, attuata mediante la trasmissione di istruzioni di pagamento opportunamente predisposte, con lo scopo di dirottare indebitamente trasferimenti di denaro verso coordinate bancarie (IBAN) estere, riconducibili agli attori della minaccia.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso
• provvedere all’immediata rotazione delle credenziali di accesso per tutte le utenze coinvolte o sospette, garantendo l’adozione di criteri di complessità adeguati in linea con le policy di sicurezza vigenti;
• implementare e rendere mandatori meccanismi di autenticazione forte (Multi-Factor Authentication) a presidio di tutti gli account di posta elettronica, al fine di mitigare il rischio derivante dalla compromissione delle sole password;
• effettuare una puntuale verifica delle configurazioni delle caselle di posta, con specifico riferimento all’identificazione e alla rimozione di regole di inoltro automatico o di archiviazione non esplicitamente autorizzate dall’utente;
• adottare procedure di verifica “fuori banda” (es. contatto telefonico diretto su numerazioni preesistenti) a fronte di qualsivoglia richiesta di variazione delle coordinate bancarie (IBAN), anche qualora la comunicazione appaia provenire da interlocutori fiduciari.