Indice
Da alcuni mesi, un metodo di hacking formidabile prende di mira gli account Microsoft 365, sfruttando abilmente il flusso OAuth per aggirare password e autenticazione multi-fattore. Campagne di phishing su larga scala utilizzano questa tecnica per accedere direttamente agli account degli utenti, mettendo in discussione la sicurezza dei sistemi più protetti.
Le 3 informazioni da non perdere
Il flusso OAuth è un meccanismo di autenticazione comunemente utilizzato per autorizzare applicazioni ad accedere ad account Microsoft, senza bisogno di password. Viene generato un codice temporaneo che l’utente deve inserire per convalidare questa autorizzazione. I cybercriminali sfruttano questa funzionalità inviando email di phishing che sembrano autentiche.
Queste email contengono link che portano a pagine controllate dagli attaccanti, imitando l’aspetto dell’organizzazione bersaglio. Gli utenti vengono ingannati facendogli credere di convalidare un’autorizzazione legittima, mentre in realtà conferiscono l’accesso al loro account a un’applicazione malevola.
Le campagne di phishing che sfruttano il flusso OAuth utilizzano messaggi che evocano argomenti comuni e attraenti come documenti condivisi o bonus salariali. Questi messaggi possono inserirsi nel contesto di scambi reali, aumentando così la loro credibilità. Le vittime, inserendo il codice fornito, concedono inconsapevolmente un accesso completo al loro account ai cybercriminali.
Proofpoint, un’azienda specializzata in cybersicurezza, ha osservato un forte aumento di questi attacchi, condotti da gruppi noti per la loro expertise in phishing. Il gruppo TA2723, ad esempio, è coinvolto in queste attività dall’autunno scorso, prendendo di mira settori sensibili in Europa e negli Stati Uniti.
Per proteggersi da questi attacchi, le organizzazioni devono esaminare da vicino gli accessi OAuth. Si consiglia di limitare strettamente le applicazioni che hanno accesso agli account, controllare i consensi già concessi e limitare l’uso dei flussi di autorizzazione tramite codice ai contesti necessari. Sono inoltre raccomandati audit regolari delle applicazioni autorizzate.
Gli utenti, dal canto loro, devono essere vigili e non inserire mai un codice nell’interfaccia Microsoft se non hanno avviato il processo di autorizzazione. Qualsiasi richiesta legata a un documento, un bonus o una verifica di account deve essere considerata con sospetto, anche se sembra provenire da una fonte legittima.
Microsoft 365, conosciuto in precedenza come Office 365, è una suite di servizi cloud che integra strumenti di produttività come Word, Excel e Teams. Dal suo lancio, la piattaforma è diventata un pilastro per le aziende e le istituzioni di tutto il mondo, rendendo i suoi account molto ambiti dai cybercriminali. Gli attacchi che prendono di mira questi account sono evoluti nel corso degli anni, passando dai semplici furti di password a tecniche di phishing sofisticate come quelle che utilizzano il flusso OAuth.
Gli sforzi per mettere in sicurezza Microsoft 365 si sono intensificati, in particolare con l’integrazione dell’autenticazione multi-fattore e delle politiche di accesso condizionale. Tuttavia, la crescente sofisticazione degli attacchi informatici mette in luce la necessità di una maggiore vigilanza e di un’educazione continua degli utenti per prevenire compromissioni dei dati.