I nuovi dati emersi da un’analisi di Barracuda Research dimostrano con quanta rapidità i moderni attacchi via e-mail possano degenerare in veri e propri incidenti di sicurezza. Nel corso di una simulazione controllata condotta dal Red Team di Barracuda, una singola e-mail di phishing ha portato, nel giro di cinque minuti, al furto d’identità, all’elusione dell’autenticazione a più fattori, all’accesso permanente e alla compromissione dei dispositivi.
La dinamica della simulazione dell’attacco
La simulazione ha preso il via con l’utilizzo dell’intelligenza artificiale generativa da parte del Red Team per creare un’e-mail di phishing mirata, contenente una richiesta urgente di revisione di un documento. Il messaggio è stato recapitato al destinatario, il quale lo ha aperto dopo circa 21 minuti, cliccando sul link incorporato che rimandava a una falsa pagina di login Microsoft.
Nei successivi 60 secondi, l’utente ha inserito le proprie credenziali di accesso. In questa fase, gli aggressori hanno reindirizzato la legittima procedura di login per intercettare in tempo reale i dati scambiati tra la vittima e Microsoft. Successivamente, una volta ricevuta la richiesta di autenticazione a più fattori da parte di Microsoft, l’utente ha impiegato un ulteriore minuto per completare il passaggio, permettendo così agli aggressori di sottrarre anche il cookie di autenticazione e i dettagli della sessione.
Dopo soli due minuti dal primo clic sul link dannoso, i cyber aggressori hanno utilizzato il cookie di sessione clonato per accedere direttamente alla casella di posta della vittima. Questo ha consentito loro di leggere e inviare e-mail a nome dell’utente, accedere a SharePoint e OneDrive, configurare regole di ricezione personalizzate per occultare le proprie attività e autorizzare applicazioni OAuth malevole, garantendosi l’accesso al sistema anche dopo la scadenza della sessione stessa.
Per consolidare la propria presenza, gli aggressori hanno poi impiegato la tecnica nota come ClickFix, richiedendo alla vittima un finto passaggio di verifica aggiuntivo. L’utente ha così copiato un codice negli appunti del computer, attivando inconsapevolmente uno script dannoso utilizzato per creare un punto d’appoggio stabile nella rete.
In questo modo, entro cinque minuti dal primo clic, gli aggressori hanno ottenuto un controllo continuo del sistema, con la facoltà di rientrare in qualsiasi momento, estendere i propri privilegi e lanciare payload aggiuntivi. Se la simulazione fosse proseguita, l’attacco avrebbe potuto progredire rapidamente verso il furto di dati sensibili, la crittografia o la distruzione dei sistemi tramite ransomware. Uno scenario che evidenzia la gravità del rischio legato all’accesso iniziale ottenuto tramite una singola e-mail.
“I cybercriminali utilizzano strumenti di intelligenza artificiale facilmente reperibili e tecniche elusive per aggirare le difese tradizionali e amplificare gravità e portata degli incidenti”, afferma Merium Khalid, Director, AI and Automation presso la Direzione Tecnica di Barracuda. “La rapidità con cui il Red Team è riuscito a ottenere il controllo del sistema e al tempo stesso a comprometterlo sottolinea l’urgente necessità di una sicurezza e-mail continua, in tempo reale e automatizzata, in grado di intercettare le minacce che si sviluppano al di fuori della casella di posta”.
Le strategie di protezione
Nessuna misura di sicurezza è in grado, da sola, di bloccare i moderni attacchi e-mail multifase guidati dall’AI. Per questo motivo, le organizzazioni devono adottare una protezione stratificata e continua che sia in grado di coprire l’intero ciclo di vita della minaccia.
Le tecniche di difesa fondamentali includono innanzitutto l’implementazione di un’autenticazione a più fattori resistente al phishing, ad esempio tramite l’uso di chiavi di sicurezza, combinata con sistemi avanzati di protezione della posta elettronica dotati di funzionalità di rilevamento in tempo reale. A queste basi è importante affiancare anche protocolli robusti di autenticazione delle e-mail, come il DMARC, e programmi di formazione continua e sensibilizzazione degli utenti, essenziali per riconoscere le tattiche di ingegneria sociale in continua evoluzione.
Inoltre, un tassello decisivo è rappresentato dalla limitazione dell’accesso agli strumenti ad alto rischio, riducendo così la superficie di attacco ed evitando che i cybercriminali possano sfruttare applicativi legittimi per colpire l’organizzazione.
I team di sicurezza devono infine monitorare eventuali anomalie nei parametri di accesso (come posizione geografica, dispositivo e orario), comportamenti sospetti successivi al login e segnali di controllo permanente del sistema, come l’introduzione di nuove regole di ricezione delle e-mail o di attività pianificate.
