Microsoft Sway: phishing tramite QR code

Microsoft Sway e QR Code: nuova frontiera del phishing per credenziali

Punti principali:
Cosa è importante sapere:

Una campagna di phishing sofisticata sfrutta Microsoft Sway e QR Code per rubare credenziali di accesso agli utenti di Microsoft 365. Le aziende devono essere consapevoli dei rischi legati al phishing trasparente e all'uso ingannevole di piattaforme legittime. Misure preventive e aggiornamenti costanti sono essenziali.

Tempo di lettura: 4 minuti
Punti principali:

Un attacco sofisticato colpisce Microsoft 365

Un nuovo attacco di phishing sta mettendo a rischio la sicurezza delle aziende in tutto il mondo. L’attacco sfrutta Microsoft Sway, una piattaforma legittima per la creazione di presentazioni online, insieme a QR Code inviati via email. Questo attacco, recentemente scoperto da Netskope Threat Labs, ha ingannato numerosi utenti di Microsoft 365, rubando le loro credenziali di accesso.

microsoft sway phishing qr code furto credenziali

Un esempio di email di phishing con QR Code. Fonte: hwupgrade.it

Come funziona l’attacco

Gli aggressori hanno sfruttato la fiducia degli utenti in piattaforme conosciute come Microsoft Sway. In questa campagna, i criminali hanno inviato email con codici QR che, una volta scansionati, reindirizzavano le vittime a pagine di phishing ospitate su domini legittimi, come sway.cloud.microsoft. Questo stratagemma ha permesso agli attaccanti di mascherare le loro intenzioni, rendendo l’attacco più difficile da individuare e bloccare.

Perché i QR Code sono pericolosi

Il QR Code, presente nelle email, rappresenta una semplice immagine per i software di sicurezza tradizionali, i quali non riescono a rilevare nulla di sospetto. Questo significa che, quando un utente scansiona il codice con il proprio smartphone, viene indirizzato direttamente a un sito web pericoloso senza nessuna segnalazione preventiva. In molti casi, questi smartphone non sono dotati delle stesse misure di sicurezza presenti sui computer aziendali, rendendo gli attacchi ancora più efficaci.

Il phishing trasparente: Una minaccia invisibile

Questa campagna di phishing si distingue per l’uso di una tecnica avanzata chiamata “phishing trasparente” o phishing adversary-in-the-middle. A differenza del phishing tradizionale, in cui l’attaccante crea una copia del sito di login per rubare le credenziali, il phishing trasparente utilizza un server intermediario che si frappone tra la vittima e il sito legittimo. Quando la vittima inserisce le credenziali e il codice di autenticazione a più fattori, questi dati vengono raccolti e utilizzati dall’attaccante per accedere all’account, senza che la vittima se ne accorga.

Sway Quishing 6

Cloudflare Turnstile: Un’arma a doppio taglio

Gli aggressori hanno anche sfruttato uno strumento di sicurezza noto come Cloudflare Turnstile. Questo sistema, simile ai CAPTCHA, è progettato per proteggere i siti web da traffico ostile. Tuttavia, i criminali lo utilizzano per rendere i loro siti di phishing più credibili e per evitare che vengano rilevati dai sistemi di sicurezza. Questa doppia funzione rende l’attacco ancora più insidioso, poiché aumenta la fiducia della vittima e riduce la probabilità che l’attacco venga bloccato.

microsoft sway phishing qr code furto credenziali 02

Cloudflare Turnstile utilizzato in un attacco di phishing. Fonte: hwupgrade

Impatto sulle aziende e settori colpiti

L’attacco ha colpito principalmente aziende dei settori tecnologico, manifatturiero e finanziario, con un focus particolare su realtà in Asia e Nord America, ma anche in Europa. Questo dimostra come gli attaccanti stiano prendendo di mira le aziende con alto valore strategico e con dati sensibili, che possono essere sfruttati per ulteriori attacchi o venduti nel dark web.

Perché le aziende sono vulnerabili

Molte aziende si affidano a piattaforme come Microsoft 365 per la gestione delle loro attività quotidiane. Questo le rende bersagli attraenti per i criminali informatici, che possono ottenere accesso a informazioni critiche, come dettagli finanziari, progetti riservati e comunicazioni interne. La combinazione di tecniche sofisticate, come il phishing trasparente e l’uso di QR Code, rende questi attacchi particolarmente pericolosi per le aziende che non dispongono di misure di sicurezza avanzate.

microsoft sway phishing qr code furto credenziali 1

Un utente mentre scansiona un QR Code, potenzialmente pericoloso.

La nota tecnica

Una delle tecniche utilizzate in questa campagna di phishing è il phishing trasparente, che sfrutta un server intermediario per intercettare e manipolare la comunicazione tra l’utente e il servizio di autenticazione. Questa tecnica è particolarmente insidiosa perché non si limita a replicare una pagina di login legittima, ma agisce come un vero e proprio proxy che raccoglie le credenziali e i token di autenticazione multifattoriale in tempo reale. Quando la vittima inserisce le proprie credenziali, il server dell’attaccante le inoltra immediatamente al sito legittimo, permettendo all’attaccante di accedere all’account bersaglio senza destare sospetti. Questo tipo di attacco rende inefficaci molte delle misure di sicurezza tradizionali, richiedendo un approccio più avanzato per la mitigazione dei rischi.

Prevenzione e mitigazione del rischio

Di fronte a una minaccia così sofisticata, le aziende devono adottare misure preventive per proteggere i loro sistemi e i loro dati. Anche se non entreremo nei dettagli, ecco alcune delle soluzioni più comunemente suggerite dagli esperti:

  • Educazione e consapevolezza: Formare i dipendenti su come riconoscere le email di phishing e come comportarsi quando si ricevono QR Code sospetti.
  • Autenticazione multifattoriale (MFA): Implementare sistemi di autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza, anche se questo da solo potrebbe non essere sufficiente contro il phishing trasparente.
  • Soluzioni di sicurezza avanzate: Utilizzare strumenti di sicurezza che vanno oltre la semplice scansione del testo nelle email, capaci di analizzare anche le immagini e i comportamenti anomali.

Gli attacchi di phishing stanno diventando sempre più sofisticati, sfruttando piattaforme legittime e tecniche avanzate come il phishing trasparente. Le aziende devono rimanere vigili e aggiornare costantemente le loro strategie di sicurezza per proteggere i propri dati e le proprie risorse.

Rimanere aggiornati sulle minacce

Per restare al sicuro, è essenziale che le aziende seguano costantemente gli aggiornamenti sulle nuove minacce e adottino le misure necessarie per mitigare i rischi. La consapevolezza e la preparazione sono le armi migliori contro un panorama di minacce in continua evoluzione.

Sway e QR Code sono solo due degli strumenti che i criminali informatici possono sfruttare. Restare informati e vigilanti è il primo passo per proteggere la propria azienda da queste minacce sempre più complesse.

Link utili di approfondimento:

Post appena pubblicati

Gestione Presenze: semplifica il lavoro!

Rischi nascosti nei convertitori online: cosa sapere

Hacker russi sfruttano bug 0-day di 7-Zip per diffondere malware

Truffe MMS: come i truffatori rubano denaro alle aziende

Perché le aziende italiane ignorano la cyber security e cosa rischiano?

I 10 codici PIN più usati e pericolosi: quale evitare subito?

Il falso mito della sicurezza di macOS: perché anche il Mac è a rischio

Malware nordcoreani vs cinesi: quale minaccia è più pericolosa?

Seguici e Rimani informato

Iscriviti alla newsletter e sarai tra i primi ad essere informato su nuovi contenuti

Clicca Qui