Cosa è importante sapere:Email contraffatte ingannano le aziende : EchoSpoofing ha aggirato le difese di Proofpoint, inviando milioni di email contraffatte ogni giorno, mettendo a rischio le aziende. Fiducia tradita e perdite potenziali: L'apparente legittimità delle email ha sfruttato la fiducia dei dipendenti, causando rischi di frode e danni reputazionali. Proofpoint ha risolto le vulnerabilità e migliorato i
Nel mondo della sicurezza informatica, l’inizio del 2024 ha visto una delle campagne di phishing più aggressive degli ultimi anni. La campagna, denominata EchoSpoofing, ha aggirato le difese di Proofpoint, uno dei servizi di protezione e-mail più utilizzati. Ma come è stato possibile? Come hanno fatto gli aggressori a inviare milioni di e-mail al giorno, impersonando grandi aziende come Disney, Nike, IBM e Coca-Cola?
Cosa è successo con EchoSpoofing?
A partire da gennaio 2024, un gruppo di criminali informatici ha sfruttato alcune vulnerabilità nelle autorizzazioni del servizio di protezione e-mail di Proofpoint. Queste vulnerabilità sono state rapidamente risolte, ma durante la loro esistenza, hanno permesso agli attori di minaccia di inviare un numero impressionante di e-mail contraffatte, arrivando a una media di 3 milioni di e-mail al giorno. Perché questa campagna ha avuto così tanto successo? Uno degli elementi chiave è stata la capacità degli aggressori di bypassare i controlli di autenticazione comunemente utilizzati per fermare lo spoofing.
Come hanno fatto a bypassare le difese?
Gli aggressori hanno approfittato di una configurazione debole di Office 365 e Microsoft 365 per inoltrare le loro e-mail attraverso i server relay di Proofpoint. Utilizzando account compromessi o non autorizzati, hanno manipolato le intestazioni delle e-mail in modo da farle apparire del tutto legittime. Questo ha consentito loro di bypassare i controlli Sender Policy Framework (SPF) e le firme Domain Keys Identified Mail (DKIM). Quale era il risultato? Le e-mail contraffatte sembravano provenire da fonti affidabili e sono arrivate nelle caselle di posta delle aziende target senza essere segnalate come spam.
Chi è stato preso di mira?
La campagna EchoSpoofing ha colpito principalmente le aziende Fortune 100, ovvero le maggiori multinazionali al mondo. Tuttavia, anche altre aziende meno note sono state coinvolte. L’obiettivo degli aggressori era quello di indurre i destinatari a fidarsi delle e-mail ricevute e, di conseguenza, compiere azioni come cliccare su link pericolosi o fornire informazioni sensibili.
Quando è avvenuto il picco dell’attacco?
Il momento di maggior intensità della campagna è stato raggiunto all’inizio di giugno 2024, quando sono stati inviati ben 14 milioni di e-mail in un solo giorno. Questo picco ha dimostrato la vastità e la portata dell’operazione, evidenziando come le aziende, anche quelle con difese avanzate, possano essere vulnerabili a questo tipo di attacco.
Quali tecniche sono state utilizzate?
Gli aggressori hanno configurato i propri server SMTP per creare e-mail manipolate, che poi sono state inoltrate attraverso i server relay di Proofpoint. Questo processo è stato possibile grazie a una configurazione non ottimale del record SPF, che ha permesso a qualsiasi account Office 365 di inoltrare e-mail attraverso il sistema di protezione. Inoltre, grazie all’uso delle firme DKIM, le e-mail inviate sembravano del tutto legittime. Perché queste tecniche sono così efficaci? Perché sfruttano falle nelle configurazioni di sicurezza che, se non corrette, lasciano le aziende esposte ad attacchi di spoofing e phishing.
Email contraffatte inviate tramite server relay
Dove sono stati ospitati i server dell’attacco?
L’infrastruttura utilizzata per EchoSpoofing includeva Virtual Private Server (VPS) ospitati da OVHCloud e Centrilogic, due provider di servizi cloud ampiamente utilizzati nel mondo. Inoltre, i domini utilizzati dagli aggressori per inviare le e-mail erano stati registrati tramite Namecheap, un noto provider di domini.
Chi ha scoperto l’attacco?
La scoperta della campagna EchoSpoofing è stata possibile grazie a Guardio Labs, che ha individuato e segnalato la falla nei server relay e-mail di Proofpoint a maggio 2024. La collaborazione tra Proofpoint e Guardio ha consentito di arginare l’attacco e di implementare misure di sicurezza più efficaci per prevenire futuri attacchi.
🚨Guardio Labs Exposes “EchoSpoofing”: A critical exploit of Proofpoint email protection service.
This phishing campaign sent millions of spoofed emails from brands like @Disney, @IBM, and @Nike, bypassing security protections to steal fundshttps://t.co/U1eSvpmm7w— Guardio (@GuardioSecurity) July 29, 2024
Cosa ha fatto Proofpoint per risolvere il problema?
Dopo la scoperta dell’attacco, Proofpoint ha lavorato per migliorare le proprie difese e risolvere la vulnerabilità. Tra le misure adottate, c’è stata l’introduzione di una nuova intestazione chiamata X-OriginatorOrg, che permette di verificare la fonte dell’e-mail. Questa intestazione aiuta a identificare e bloccare i messaggi non legittimi. Inoltre, Proofpoint ha introdotto una nuova schermata di configurazione per Microsoft 365, che consente ai clienti di impostare autorizzazioni più restrittive per evitare che e-mail non autorizzate possano essere inoltrate attraverso i server.
Quali sono le raccomandazioni per il futuro?
Proofpoint ha raccomandato a tutte le aziende di verificare le proprie configurazioni SPF e DKIM, e di implementare correttamente i controlli anti-spoofing. Perché è importante? Perché una configurazione debole può lasciare la porta aperta a futuri attacchi come EchoSpoofing. In aggiunta, è stata suggerita l’adozione di pratiche di sicurezza più restrittive per l’inoltro delle e-mail e il monitoraggio costante delle attività sospette sui propri account.
Raccomandazioni per una corretta configurazione di SPF e DKIM
Perché le email contraffatte rappresentano una minaccia così grande?
Il problema principale della campagna EchoSpoofing è stato l’enorme volume di email contraffatte che ha colpito le caselle di posta di numerose aziende, comprese quelle di grandi dimensioni come Disney, Nike e IBM. Ma perché queste email rappresentano una minaccia così grande per le aziende? Gli attori di minaccia che operano nel phishing non mirano solo a rubare dati personali, ma cercano anche di compromettere le infrastrutture aziendali, rubare informazioni sensibili e, in alcuni casi, paralizzare le operazioni interne.
Quando un’azienda riceve email che sembrano provenire da fonti affidabili, come i fornitori o partner commerciali di lunga data, i dipendenti sono più propensi a fidarsi. In questo modo, gli aggressori possono convincerli ad aprire allegati dannosi, scaricare malware o addirittura trasferire fondi aziendali. Questo phishing mirato sfrutta la fiducia interna, rendendo le difese tradizionali meno efficaci.
Quando la fiducia diventa una debolezza
L’impatto emotivo e operativo di un attacco di phishing è enorme. Immagina di ricevere un’email che sembra provenire dal tuo fornitore principale, chiedendoti di aggiornare le informazioni di pagamento. Sei abituato a ricevere email simili e non sospetti nulla. Senza rendertene conto, hai appena inviato i dati bancari della tua azienda a un criminale informatico. Questo tipo di attacco non solo compromette la sicurezza dei dati finanziari, ma può anche causare perdite finanziarie dirette, problemi legali e danni reputazionali.
Inoltre, le aziende che non riescono a individuare immediatamente l’attacco potrebbero trovarsi a dover affrontare costi enormi per il ripristino della sicurezza e per la gestione delle conseguenze legali. In un contesto in cui la velocità delle operazioni aziendali è essenziale, ogni minuto perso a causa di un attacco può comportare interruzioni operative, rallentamenti nella produzione e malcontento tra i clienti.
Come le aziende possono proteggersi dagli attacchi di phishing
Fortunatamente, ci sono soluzioni per prevenire campagne di phishing come EchoSpoofing. Quali sono le migliori pratiche da adottare? Proofpoint, in risposta alla campagna, ha implementato nuove funzionalità di sicurezza, come l’intestazione “X-OriginatorOrg”, per consentire una migliore verifica della fonte delle email. Le aziende, da parte loro, dovrebbero aggiornare costantemente le proprie configurazioni di sicurezza, verificando che i controlli SPF e DKIM siano correttamente impostati. Perché è così importante? Una configurazione debole di questi controlli è stata alla base del successo di EchoSpoofing.
E’ cruciale formare i dipendenti affinché riconoscano i segnali di un possibile attacco di phishing. Le email sospette, che richiedono aggiornamenti urgenti o informazioni finanziarie, devono essere esaminate con attenzione, magari verificando direttamente con il mittente legittimo prima di intraprendere qualsiasi azione.
L’episodio di EchoSpoofing ha dimostrato quanto sia importante per le aziende non solo affidarsi a soluzioni di sicurezza avanzate, ma anche essere proattive nell’implementazione di misure preventive. La formazione e la sensibilizzazione interna sono strumenti chiave per proteggere l’azienda da queste minacce in costante evoluzione.
In un contesto in cui le minacce informatiche sono in continuo aumento, cosa puoi fare per proteggere la tua azienda? Assicurati di mantenere aggiornate le tue configurazioni di sicurezza e affidati a professionisti per monitorare costantemente le tue difese.
Post appena pubblicati
