Intrusi nascosti nella casella di posta elettronica
Una volta che gli aggressori hanno compromesso un account di posta elettronica, possono abusare delle regole della posta in arrivo per mascherare ulteriori attacchi, ad esempio facendo uscire le informazioni dalla rete inosservate tramite l'inoltro, assicurandosi che la vittima non veda gli avvisi di sicurezza e cancellando determinati messaggi.
Anche se la sicurezza delle e-mail si è evoluta e l'uso dell'apprendimento automatico ha reso più facile rilevare le creazioni di regole sospette per la posta in arrivo, gli aggressori continuano a utilizzare questa tecnica con successo. Poiché richiede un account compromesso, il numero complessivo di questa minaccia è probabilmente basso. Tuttavia, rappresenta una seria minaccia per l'integrità dei dati e delle risorse di un'organizzazione, anche perché la creazione di regole da parte di un aggressore è una tecnica successiva alla compromissione, il che significa che è già in rete e richiede contromisure immediate.
La sezione seguente esamina come gli aggressori abusano delle regole automatizzate per le e-mail e come le aziende possono proteggersi in modo efficace.
L'e-mail è un vettore di attacco primario
Gli attacchi basati sulle e-mail hanno un'alta percentuale di successo e sono un punto di ingresso comune per molti altri cyberattacchi. Una ricerca di Barracuda ha rilevato che il 75% delle organizzazioni intervistate a livello globale ha subito almeno una violazione della sicurezza basata sulle e-mail nel 2022. Questi attacchi vanno da semplici attacchi di phishing e link o allegati dannosi a sofisticate tecniche di social engineering come la compromissione delle e-mail aziendali (BEC), il dirottamento delle conversazioni e l'acquisizione di account. Alcuni dei tipi più avanzati sono legati a regole di posta elettronica dannose.
Come gli aggressori creano regole automatizzate per le e-mail
Per creare regole di posta elettronica dannose, gli aggressori devono aver compromesso un account di destinazione, ad esempio attraverso un'e-mail di phishing andata a buon fine o utilizzando le credenziali rubate acquisite in una precedente intrusione. Una volta ottenuto il controllo dell'account e-mail della vittima, l'aggressore può impostare una o più regole e-mail automatiche.
Regole di posta elettronica per il furto di informazioni e il camuffamento
Gli aggressori possono impostare una regola per inoltrare tutte le e-mail con parole chiave sensibili e potenzialmente redditizie come "pagamento", "fattura" o "confidenziale" a un indirizzo esterno. Inoltre, possono anche abusare delle regole di posta elettronica per nascondere alcune e-mail in arrivo, spostando questi messaggi in cartelle poco utilizzate, contrassegnando le e-mail come lette o semplicemente cancellandole. Ad esempio, per nascondere gli avvisi di sicurezza, i messaggi di comando e controllo o le risposte alle e-mail interne di spear-phishing inviate dall'account compromesso, o per coprire le proprie tracce dal proprietario dell'account, che probabilmente lo sta utilizzando nello stesso momento senza sapere degli intrusi. Inoltre, gli aggressori possono anche abusare delle regole di inoltro delle e-mail per monitorare le attività di una vittima e raccogliere informazioni sulla vittima o sull'organizzazione della vittima da utilizzare per ulteriori attacchi o operazioni.
Uso delle regole di posta elettronica per gli attacchi BEC
Negli attacchi BEC (Business Email Compromise), i criminali informatici cercano di convincere le loro vittime che un'e-mail proviene da un utente legittimo per frodare l'azienda e i suoi dipendenti, clienti o partner. Ad esempio, gli aggressori possono impostare una regola che cancella tutte le e-mail in arrivo da un determinato dipendente o supervisore, come il Chief Finance Officer (CFO). In questo modo, i criminali possono impersonare il CFO e inviare e-mail false ai dipendenti per convincerli a trasferire i fondi aziendali su un conto bancario controllato dagli aggressori.
Nel novembre 2020, l'FBI ha pubblicato un rapporto su come i criminali informatici sfruttino la mancanza di sincronizzazione e di trasparenza della sicurezza tra i client di posta elettronica basati sul web e quelli desktop per impostare le regole di inoltro delle e-mail, aumentando le probabilità di successo di un attacco BEC.
Uso delle regole di posta elettronica negli attacchi mirati agli Stati nazionali
Le regole delle e-mail dannose sono utilizzate anche negli attacchi mirati degli Stati nazionali. Il Framework of Adversary Tactics and Techniques (Quadro delle tattiche e delle tecniche avversarie), chiamato MITRE ATT&CK, nomina tre APT (Advanced Persistent Threat Groups) che utilizzano la tecnica dell'inoltro di e-mail dannose (T1114.003). Si tratta di Kimsuky, un gruppo di spionaggio informatico di uno Stato nazionale, LAPSUS$, noto per i suoi attacchi di estorsione e di disturbo, e Silent Librarian, un altro gruppo di uno Stato nazionale associato al furto di proprietà intellettuale e alla ricerca.
Il MITRE classifica le regole per nascondere le e-mail (T1564.008) come una tecnica utilizzata per aggirare le difese di sicurezza. Una APT nota per l'utilizzo di questa tecnica è FIN4, un attore di minacce con motivazioni finanziarie che crea regole negli account delle vittime per eliminare automaticamente le e-mail contenenti parole come "hacked", "phish" e "malware", probabilmente per impedire al team IT della vittima di notificare ai dipendenti e ad altri le loro attività.
Misure di sicurezza che non funzionano da sole
Se una regola dannosa non viene rilevata, rimane in vigore anche se la password della vittima viene modificata, se viene attivata l'autenticazione multilivello, se vengono implementati altri criteri di accesso condizionato rigorosi o se il computer viene completamente ricostruito. Finché la regola resta in vigore, rimane efficace.
Sebbene le regole delle e-mail sospette possano essere un buon indizio di un attacco, il loro esame isolato non è un segnale sufficiente a indicare che un account è stato compromesso. Le misure di difesa devono quindi utilizzare più segnali per ridurre le informazioni irrilevanti e avvisare il team di sicurezza di un probabile attacco e-mail riuscito. La natura dinamica e in evoluzione degli attacchi informatici, compreso l'uso di tattiche sofisticate da parte degli aggressori, richiede un approccio multilivello al rilevamento e alla difesa.
Misure di difesa efficaci
Poiché la creazione di regole per la posta in arrivo è una tecnica successiva alla compromissione, la protezione più efficace è la prevenzione, ossia impedire agli aggressori di dirottare l'account in primo luogo. Tuttavia, le aziende hanno anche bisogno di misure efficaci di rilevamento e risposta agli incidenti per identificare gli account sotto attacco e mitigare l'impatto di tali attacchi. Ciò include la visibilità completa di tutte le azioni intraprese sulla casella di posta di ciascun dipendente e le regole create, le modifiche o gli accessi, la cronologia degli accessi dell'utente, l'ora, il luogo e il contesto delle e-mail inviate e altro ancora. Le soluzioni avanzate di sicurezza e-mail basate sull'intelligenza artificiale utilizzano questi dati per creare un profilo intelligente dell'account di ciascun utente, segnalando immediatamente qualsiasi anomalia, per quanto piccola. Una funzione di protezione contro il furto di identità utilizza anche segnali multipli come i dati di login, i dati delle e-mail e i modelli statistici insieme a regole per rilevare un attacco di acquisizione dell'account.
Infine, il rilevamento e la risposta estesi (XDR) e il monitoraggio 24 ore su 24, 7 giorni su 7, da parte di un centro operativo di sicurezza (SOC), possono aiutare a rilevare e neutralizzare anche attività profondamente nascoste e mascherate. L'abuso delle regole della posta in arrivo è una delle tattiche più perfide dei criminali informatici. Tuttavia, con le misure sopra descritte, le aziende possono difendersi adeguatamente da questa minaccia per proteggere i propri dati e beni sensibili.