Attacco Email OneNote

Cos’è Attacco Email OneNote?

Una compromissione dell'email aziendale (BEC) è un attacco mirato in cui i criminali si infiltrano o falsificano l'email di un contatto fidato per reindirizzare i pagamenti. Questo esercizio ricostruisce un incidente reale originariamente documentato in un post su Reddit in cui gli attaccanti hanno ottenuto accesso all'account email di un cliente, monitorato le conversazioni relative alle fatture per settimane senza inviare un singolo messaggio e hanno colpito nel momento esatto in cui era dovuto un pagamento legittimo. Riceverai una richiesta di reindirizzamento di fattura che sembra provenire da un contatto aziendale noto. L'attaccante ha registrato un dominio contraffatto, cambiando un singolo carattere nel nome dell'azienda, e lo ha utilizzato per inviare un messaggio che fa riferimento a dettagli reali del progetto raccolti durante settimane di sorveglianza. Ogni elemento dell'email sembra corretto: il tono, la formattazione, i riferimenti al progetto, l'importo della fattura. L'unico indizio è una differenza di un carattere nel nome di dominio del mittente. Il tuo compito è identificare i segnali d'allarme, seguire le procedure di verifica e capire perché questo tipo di attacco ha successo contro le organizzazioni che non hanno processi di conferma dei pagamenti fuori banda. Gli attacchi BEC hanno causato oltre 2,9 miliardi di dollari di perdite segnalate nel 2023 secondo i dati FBI IC3, rendendoli la categoria di criminalità informatica più dannosa dal punto di vista finanziario.

Cosa imparerai in Attacco Email OneNote

• Identificare le caratteristiche di un attacco BEC con monitoraggio in cui i criminali sorvegliano le conversazioni email prima di agire
• Rilevare domini contraffatti esaminando gli indirizzi dei mittenti carattere per carattere rispetto ai contatti noti
• Applicare procedure di verifica fuori banda per confermare le modifiche ai pagamenti attraverso un canale di comunicazione separato
• Riconoscere come gli attaccanti utilizzano dettagli reali del progetto e importi delle fatture per costruire credibilità nelle richieste fraudolente
• Spiegare perché la conferma solo via email è insufficiente per qualsiasi modifica di transazione finanziaria, indipendentemente da quanto legittima appaia la richiesta

Attacco Email OneNote — Fasi della formazione

1. Introduzione: In attesa di documenti contrattuali critici

   Da due mesi lavori con Bob Chen, CEO di DataFlow Analytics, per un rinnovo contrattuale annuale da 500.000 dollari. Bob ha promesso di inviare i documenti contrattuali firmati questa settimana, ma non sono ancora arrivati. Il tuo team legale e il tuo manager richiedono questi documenti quotidianamente: l'affare non può concludersi senza la firma di Bob. È venerdì pomeriggio, 16:45. Controlli la tua posta elettronica un'ultima volta prima del fine settimana, sperando che Bob abbia finalmente inviato i contratti.

2. Arriva la mail tanto attesa

   Un nuovo messaggio di Bob Chen appare nella parte superiore della tua casella di posta! Oggetto: 'Documenti contrattuali firmati - Versione finale'. Dopo settimane di attesa, Bob ha finalmente inviato i documenti. Puoi finalizzare l'accordo durante il fine settimana e annunciare il rinnovo del contratto lunedì. C'è un collegamento a un file OneNote: l'azienda di Bob condivide spesso documenti tramite OneDrive, quindi sembra normale.

3. Apertura del collegamento del contratto

   Non esiti. L'e-mail sembra completamente legittima: proviene dall'indirizzo DataFlow Analytics di Bob, menziona il ritardo nell'approvazione del consiglio di cui ti ha parlato e l'oggetto corrisponde esattamente a ciò che ti aspettavi. Fai clic sul collegamento. Il browser si apre su quella che sembra essere una pagina OneDrive con un'anteprima del documento OneNote. La pagina assomiglia esattamente all'interfaccia di Microsoft: stesso marchio, colori e layout. C'è un'anteprima del documento che mostra un contratto con firme e carta intestata aziendale.

4. La richiesta di accesso

   La pagina visualizza un modulo di accesso Microsoft. Questo è normale: spesso ti autentichi quando accedi a documenti condivisi da partner esterni. La pagina ha il marchio Microsoft appropriato e assomiglia esattamente alla pagina di autenticazione che vedi decine di volte alla settimana quando i client esterni condividono file.

5. Inserimento delle tue credenziali

   Il modulo di accesso viene visualizzato con lo stile familiare di Microsoft. Hai già eseguito l'autenticazione sui collegamenti OneDrive condivisi centinaia di volte. Digiti senza esitazione l'e-mail e la password di lavoro: questi contratti ti servono per il team legale lunedì mattina. Sono le 16:50 di venerdì e desideri rivedere i documenti durante il fine settimana.

6. Qualcosa va storto

   Dopo aver immesso le credenziali, la pagina mostra uno spinner di caricamento, quindi visualizza 'Connessione scaduta'. Provi ad accedere all'e-mail aziendale: all'improvviso ti viene chiesto di accedere di nuovo. 'Credenziali non valide.' Ti cade lo stomaco. Provi OneDrive: stesso problema. Sei bloccato fuori. La terribile verità ti colpisce: quello non era il vero OneDrive. Si trattava di una sofisticata pagina falsa progettata per rubare credenziali. Hai appena fornito agli aggressori la tua email di lavoro, la tua password e l'accesso all'intero sistema Microsoft 365 della tua azienda. Hanno immediatamente effettuato l'accesso al tuo account reale e cambiato la tua password, bloccandoti.

7. Emergenza: chiamata alla sicurezza IT

   Chiami immediatamente la hotline IT Security. Dopo diversi squilli, lasci un messaggio vocale urgente in cui spieghi che sei stato vittima di phishing e che sei bloccato. Ti tremano le mani mentre aspetti. Gli aggressori hanno accesso a informazioni sensibili sui clienti, dati finanziari e documenti interni. Due minuti dopo, il telefono della tua scrivania squilla: la sicurezza IT ti richiama.

8. La risposta del team di sicurezza

   Il team di sicurezza IT ti richiamerà per aiutarti a bloccare il tuo account e valutare il danno. Devono agire rapidamente per ridurre al minimo la violazione.

9. La valutazione del danno: sei minuti critici

   Nel giro di due minuti, la sicurezza ha forzato la reimpostazione della password e ha cacciato gli aggressori. Ma il danno è fatto. I dati compromessi includono contratti firmati con prezzi, proiezioni finanziarie, informazioni personali dei clienti, documenti tecnici proprietari e trattative private. Questi dati potrebbero essere venduti ai concorrenti, divulgati pubblicamente o utilizzati per ulteriori attacchi.

10. Segnalazione dell'e-mail di phishing

    Con la crisi contenuta, segnala l'e-mail dannosa. La funzione 'Segnala phishing' aiuta la sicurezza ad analizzare intestazioni, bloccare i domini dei mittenti, identificare altri dipendenti presi di mira e condividere informazioni sulle minacce.