La nuova minaccia del phishing
I recenti sviluppi nel campo della sicurezza informatica hanno portato alla luce un attacco phishing sofisticato, orchestrato dal gruppo di cybercriminali noto come Storm-2372. Questo gruppo, attivo nel panorama delle minacce informatiche, ha messo nel mirino gli utenti del servizio Microsoft Teams, utilizzando una tecnica innovativa e insidiosa per compromettere gli account.
Cos’è il device code phishing?
La tecnica impiegata da Storm-2372 è conosciuta come “device code phishing”. Questo metodo sfrutta dispositivi privi di tastiera o mouse, come smart TV e Fire TV Stick, che mostrano un codice di autenticazione sullo schermo. Gli utenti sono quindi indotti a inserire questo codice in una pagina di login legittima, ignari del fatto che stanno fornendo ai cybercriminali i loro token di autenticazione.
Come avviene l’attacco
Durante l’attacco, i cybercriminali inviano messaggi alle vittime tramite app di messaggistica come WhatsApp o Signal, spacciandosi per conoscenti. Viene quindi proposto di partecipare a un meeting su Teams, accompagnato da un codice di invito. Tuttavia, questo codice è una trappola: inserendolo, le vittime consegnano involontariamente i loro token di autenticazione ai malintenzionati. Una volta in possesso di questi token, i criminali possono accedere non solo a Teams, ma anche ad altri servizi collegati, come email e cloud storage.
Le conseguenze dell’attacco
Una volta ottenuti i token di autenticazione, i cybercriminali possono mantenere l’accesso agli account delle vittime finché i token rimangono validi. Recentemente, è stata utilizzata una nuova strategia che prevede l’uso di un client ID per Microsoft Authentication Broker, permettendo ai malintenzionati di richiedere nuovi token anche dopo la scadenza dei precedenti.
Questo approccio garantisce una persistenza nell’accesso e consente di associare i dispositivi compromessi al servizio Entra ID, precedentemente noto come Azure Active Directory.
Come proteggersi da questo attacco
Microsoft ha emesso avvisi e consigli per mitigare i rischi associati a questo tipo di attacco. Tra le raccomandazioni più importanti c’è l’adozione dell’autenticazione multi-fattore, che può includere l’uso di passkey o token fisici. Queste misure di sicurezza aggiuntive possono rendere molto più difficile per i cybercriminali accedere agli account, anche se riescono a ottenere i token di autenticazione.
Conclusione
In un’epoca in cui il lavoro remoto e le comunicazioni digitali sono diventati la norma, è fondamentale rimanere vigili e informati sulle nuove minacce informatiche. La consapevolezza e l’adozione di pratiche di sicurezza robuste possono fare la differenza nella protezione dei propri dati e della propria privacy online.
