Il panorama della sicurezza informatica continua a essere minacciato da attacchi sofisticati. Recenti ricerche hanno rivelato una campagna di phishing portata avanti da agenti russi, finalizzata a compromettere gli account di Microsoft 365. Utilizzando tecniche innovative, queste operazioni mirano a sfruttare vulnerabilità specifiche nell'autenticazione a dispositivo, e rappresentano una preoccupazione concisa per le aziende e gli utenti privati.
La tecnica del phishing a codice dispositivo
La strategia impiegata dagli aggressori è nota come phishing a codice dispositivo. Questo metodo si basa sul “device code flow”, una forma di autenticazione riconosciuta nell’industria con il protocollo OAuth. Questa modalità di accesso è stata concepita per facilitare l'accesso a dispositivi come stampanti e smart TV che non sono dotati di interfacce browser, rendendo difficile il login tramite i tradizionali username e password o sistemi di autenticazione a due fattori.
In questo processo, l'utente non effettua un'autenticazione diretta. Invece, il dispositivo limitato presenta un codice alfanumerico insieme a un collegamento associato all'account dell'utente. L'utente è quindi invitato a visitare il link su un computer o un altro dispositivo, dove può inserire il codice. A questo punto, il server remoto invia un token al dispositivo di input che consente l'accesso all'account.
Questa forma di autorizzazione si basa su due percorsi: uno proveniente da un'app o codice in esecuzione sul dispositivo limitato, che chiede il permesso di accedere, e l'altro dal browser del dispositivo normalmente utilizzato per accedere.
Un attacco mirato
Avvisi allarmanti provenienti dalla società di sicurezza Volexity e da Microsoft hanno messo in guardia sul fatto che gli attori della minaccia, in nome del governo russo, stanno approfittando di questa tecnica da almeno agosto dello scorso anno. Questi attori si presentano come funzionari di alto livello, cercando di avviare conversazioni con obiettivi specifici su app di messaggistica come Signal, WhatsApp e Microsoft Teams. Tra le organizzazioni imitate ci sono enti governativi, aziende e istituzioni che normalmente non sarebbero associate a tali attacchi.
L'operazione dimostra una pianificazione sistematica e metodica, con l'obiettivo di ottenere informazioni sensibili o l'accesso a dati cruciali. Le vittime potenziali si trovano spesso in posizioni vulnerabili, che possono essere colpite da una comunicazione che sembra legittima e autorevole. Questi attacchi informatici non solo violano la sicurezza individuale, ma hanno anche ripercussioni più ampie sulla sicurezza nazionale e sulla fiducia nelle tecnologie digitali.
La risposta delle aziende e le precauzioni da adottare
In risposta a questa crescente minaccia, sia Volexity sia Microsoft hanno intensificato gli sforzi per educare gli utenti su come riconoscere e difendersi da tali attacchi. Tra le raccomandazioni principali c’è l'importanza di non fornire informazioni sensibili attraverso canali di comunicazione non sicuri e di verificare sempre l’autenticità delle comunicazioni ricevute.
È fondamentale essere vigili e adottare pratiche di sicurezza informatica robuste, come la registrazione di eventuali attività sospette e l’utilizzo dell'autenticazione a due fattori, dove possibile. Le organizzazioni sono incoraggiate a garantire che i propri dipendenti siano a conoscenza delle più recenti tecniche di attacco e delle metodologie di difesa, per mitigare i rischi associati al phishing e ad altre minacce informatiche.
La lotta contro il phishing e più in generale contro gli attacchi informatici richiede un'attenzione costante e una determinazione a mantenere la sicurezza digitale su fronti multipli.
