Attacchi ai dipendenti canadesi: come proteggere lo stipendio da hacker sofisticati

Attacchi ai dipendenti canadesi: come proteggere lo stipendio da hacker sofisticati

Proteggere lo stipendio dagli attacchi di phishing sofisticati

Introduzione per tutti

Un gruppo di hacker finanziariamente motivato sta prendendo di mira i dipendenti canadesi con una campagna sofisticata progettata per rubare le credenziali di Office 365 e reindirizzare gli stipendi su conti bancari controllati dagli attaccanti. Se ricevi un’email sospetta che ti chiede di cliccare su un link di Office 365, soprattutto da ricerche Google, non cliccare. La soluzione più rapida? Usa le passkey FIDO2/WebAuthn come secondo fattore di autenticazione e insegna al tuo reparto HR a verificare le richieste di cambio stipendio con una telefonata diretta.

Come funziona l’attacco

Gli attaccanti iniziano avvelenando i risultati dei motori di ricerca con annunci pubblicitari dannosi. Quando cerchi “Office 365” o persino “Office 265” (un errore di ortografia comune), potresti atterrare su una pagina di accesso contraffatta che sembra autentica. Questa pagina non solo ruba le tue credenziali di accesso, ma cattura il token di sessione generato dopo il login, permettendo agli hacker di accedere al tuo account senza dover reinserire la password ogni volta.

Il gruppo, tracciato da Microsoft come Storm-2755, utilizza una tecnica avanzata chiamata AiTM (Adversary-in-the-Middle). Questo significa che gli hacker si posizionano letteralmente nel mezzo tra te e Microsoft, intercettando tutto ciò che accade durante il tuo accesso.

Il vero obiettivo: reindirizzare lo stipendio

Una volta dentro il tuo account di posta elettronica, gli hacker cercano email relative a buste paga, risorse umane e finanze. Quindi inviano un’email dal tuo indirizzo email ufficiale al reparto HR della tua azienda, chiedendo un cambio di “deposito diretto” verso un nuovo conto bancario controllato dagli attaccanti.

Poiché l’email proviene dal tuo indirizzo ufficiale, il reparto HR non ha motivo di sospettare nulla. Se approvano il cambio, il tuo prossimo stipendio andrà direttamente al conto bancario dell’attaccante invece che al tuo.

Ma gli hacker sono ancora più intelligenti. Prima di inviare l’email a HR o al reparto finanze, creano una regola di posta in arrivo che nasconde silenziosamente tutte le risposte di HR contenenti parole come “banca” o “deposito diretto” in una cartella nascosta. In questo modo, non vedrai l’email di risposta e non potrai dare l’allarme.

Quando fallisce il phishing: accesso diretto ai sistemi

Quando gli hacker non riescono a convincere il reparto HR tramite social engineering, passano a un approccio più diretto e aggressivo. Accedono manualmente ai sistemi di gestione delle risorse umane come Workday, utilizzando le credenziali rubate, e modificano direttamente le informazioni bancarie nel sistema. In uno degli attacchi riusciti, un dipendente ha subito una perdita finanziaria diretta quando gli hacker hanno modificato i dati bancari su Workday.

Come proteggere il tuo stipendio

Per i dipendenti

  1. Non cliccare su link di Office 365 dai risultati di ricerca: Digita direttamente l’URL di accesso (outlook.office.com) nel browser o accedi tramite l’app ufficiale di Microsoft.

  2. Usa le passkey FIDO2/WebAuthn: Questi dispositivi di autenticazione legano l’accesso al sito legittimo e non possono essere intercettati da un proxy AiTM come possono fare i metodi tradizionali di MFA (autenticazione a più fattori).

  3. Monitora le tue impostazioni di posta: Controlla regolarmente le regole di posta in arrivo per assicurarti che non siano state create senza il tuo consenso.

  4. Segnala email sospette: Se ricevi un’email strana dal tuo indirizzo email ufficiale, contatta immediatamente il tuo reparto IT.

Per le aziende e i reparti HR

  1. Verifica fuori banda i cambi di deposito diretto: Prima di approvare qualsiasi richiesta di cambio bancario, effettua una telefonata diretta al dipendente per confermare la richiesta. Non rispondere a email o messaggi di chat.

  2. Monitora i log di accesso per attività sospette: Cerca l’user-agent Axios nei log di accesso (questo è lo strumento che gli hacker utilizzano per relazionare i token di autenticazione).

  3. Identifica i modelli di accesso anomali: Monitora gli accessi non interattivi a OfficeHome che si ripetono a intervalli di circa 30 minuti, che indicano un’attività di proxy AiTM.

  4. Crea avvisi per le regole di posta sospette: Implementa avvisi quando vengono create nuove regole di posta in arrivo che filtrano parole chiave finanziarie come “banca”, “deposito diretto” o “stipendio”.

  5. Implementa FIDO2/WebAuthn a livello aziendale: Sostituisci i metodi tradizionali di MFA con passkey che non possono essere intercettate.

Contesto della campagna

Sebbene questa particolare campagna sia focalizzata su dipendenti in Canada, campagne simili vengono costantemente lanciate per colpire dipendenti in altri paesi e in aziende che operano in settori economici specifici. Gli attaccatori adattano le loro tattiche in base ai sistemi utilizzati dalle aziende target, quindi è importante che le organizzazioni rimangono vigili e aggiornate sulle ultime minacce.

Technical Deep Dive

Analisi tecnica dell’attacco AiTM

Gli attacchi AiTM rappresentano un’evoluzione significativa nel panorama delle minacce di phishing. A differenza dei tradizionali attacchi di phishing che catturano semplicemente le credenziali, gli attacchi AiTM intercettano l’intero flusso di autenticazione, inclusi i token di sessione e i cookie di autenticazione.

Storm-2755 ha sfruttato Axios versione 1.7.9, un client HTTP popolare, per relazionare i token di autenticazione all’infrastruttura controllata dagli attaccanti. Questo approccio è particolarmente efficace perché:

  1. Bypassa l’MFA non resistente al phishing: I metodi tradizionali di MFA basati su push notification o OTP (One-Time Password) possono essere intercettati quando il proxy AiTM mantiene la sessione attiva.

  2. Mantiene l’accesso persistente: Il token di sessione relazionato permette agli attaccanti di mantenere sessioni attive senza richiedere accessi ripetuti, rendendo l’attività meno evidente nei log di accesso.

  3. Esegue azioni legittime: Una volta che gli attaccanti posseggono un token di sessione valido, possono eseguire azioni come se fossero l’utente legittimo, incluso l’accesso ai sistemi SaaS come Workday.

Indicatori di compromissione (IOC)

I team di sicurezza dovrebbero monitorare i seguenti indicatori:

  • User-agent Axios: La presenza di Axios nei log di accesso è altamente sospetta, poiché non è un browser legittimo.
  • Accessi non interattivi: Gli accessi a OfficeHome che si ripetono a intervalli di circa 30 minuti indicano un’attività di proxy automatizzata.
  • Creazione di regole di posta: Le nuove regole di posta in arrivo che filtrano parole chiave finanziarie dovrebbero generare avvisi automatici.
  • Modifiche alle impostazioni MFA: Qualsiasi cambio alle impostazioni MFA da parte di un utente dovrebbe essere verificato.

Implementazione di FIDO2/WebAuthn

FIDO2 (Fast IDentity Online 2) e WebAuthn rappresentano lo standard più moderno e sicuro per l’autenticazione. A differenza dei metodi tradizionali di MFA:

  • Binding crittografico: L’autenticazione è legata al dominio legittimo (ad esempio, microsoft.com), rendendo impossibile l’intercettazione da parte di un proxy AiTM.
  • Resistenza al phishing: Anche se un utente visita un sito contraffatto, il dispositivo FIDO2 rifiuterà di autenticarsi perché l’origine del sito non corrisponde.
  • Nessun secondo canale: A differenza delle push notification o degli OTP, FIDO2 non richiede un secondo canale di comunicazione che potrebbe essere compromesso.

Protezione dei sistemi SaaS

I sistemi SaaS come Workday rappresentano un vettore di attacco critico perché spesso contengono informazioni sensibili sui dipendenti e sui sistemi di pagamento. Le organizzazioni dovrebbero:

  1. Implementare l’accesso condizionale: Utilizzare policy di accesso condizionale per rilevare e bloccare gli accessi anomali in base a fattori come la posizione geografica, il dispositivo e il modello di accesso.

  2. Monitorare le modifiche critiche: Registrare e avvisare su qualsiasi modifica ai dati bancari, alle informazioni di contatto o alle impostazioni di accesso.

  3. Implementare l’autenticazione a più fattori: Anche per i sistemi SaaS, implementare FIDO2 o altri metodi di MFA resistenti al phishing.

  4. Limitare l’accesso amministrativo: Implementare il principio del minimo privilegio per gli account amministrativi e richiedere l’approvazione per le modifiche critiche.

Verifica fuori banda

La verifica fuori banda rimane uno dei controlli più efficaci contro gli attacchi di social engineering. Questo significa:

  • Telefonata diretta: Contattare il dipendente tramite un numero di telefono verificato in precedenza per confermare le richieste critiche.
  • Verifica dell’identità: Utilizzare domande di verifica dell’identità o informazioni che solo il dipendente legittimo potrebbe conoscere.
  • Documentazione: Registrare tutte le verifiche fuori banda e archiviarle per scopi di audit.

Questi controlli, sebbene richiedano tempo, sono estremamente efficaci nel prevenire attacchi di social engineering sofisticati come quelli perpetrati da Storm-2755.

Fonte: https://www.helpnetsecurity.com/2026/04/10/poisoned-office-365-search-results-lead-to-stolen-paychecks/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto