La violazione della casella email, personale o lavorativa che sia, è un’esperienza da non augurare a nessuno: chi realizza un’operazione di email account takeover, come la chiamano gli esperti, entra con la forza (tentando con programmi automatici molte combinazioni di username e password) o essendo già in possesso delle credenziali, e da quel momento ha campo libero per spiare, cancellare messaggi modificare dati di login, inviare email ai contatti dell’utente. In altri casi gli autori dell’attacco restano a spiare l’utente per un tempo indefinito, entrando e uscendo dall’account a loro piacimento. Così facendo possono, per esempio, intercettare password usate per fare acquisti di e-commerce e operazioni di online banking.
Un nuovo lavoro di analisi di Barracuda ha messo in luce nuove tecniche di attacco e i comportamenti adottati dagli hacker per evitare di essere scoperti. L’analisi si è avvalsa di diversi tipi di rilevatori basati su intelligenza artificiale di Barracuda, allo scopo di stilare un elenco degli utenti i cui account erano stati compromessi nell'agosto del 2019. I ricercatori hanno poi scelto un account compromesso, lo hanno indicato come “utente X” e hanno analizzato le proprietà di autenticazione di Microsoft Azure e l'attività della posta elettronica nel periodo precedente la comparsa dei primi segnali di potenziale compromissione.
Che cosa hanno scoperto? Innanzitutto, che i metodi usati per entrare nelle caselle di posta sono di vario tipo. Frequentemente, i criminali provano a usare le medesime credenziali già sottratte allo stesso utente in precedenti data breach, e spesso l’operazione riesce per via della ancor diffusa cattiva abitudine di sfruttare le stesse password su più servizi e registrazioni. Quando sono particolarmente fortunati, gli hacker trovano nelle caselle email personali le credenziali utili per entrare nell’account di posta aziendale della loro vittima.
Altro metodo di “scasso” sono gli attacchi cosiddetti di forza bruta, in cui si tentano innumerevoli combinazioni di username e password fino a trovare quelle corrette. Altri attacchi possono invece derivare da infezioni contratte tramite siti Web, applicazioni o Sms, o da attacchi di social engineering e phishing. Truffe, in altre parole, perpetuate attraverso differenti canali (messaggi email, inserzioni sui social network, pagine Web) e nelle quali si cerca di sottrarre all’utente le sue credenziali di autenticazione.
L’analisi di Barracuda ha anche evidenziato che i cybercriminali si stanno perfezionando sulla geografia, ovvero inviano email di phishing e svolgono altre azioni da IP collegati a regioni e paesi simili a quelli dell’account hackerato. Poiché gli autori degli attacchi tendono infatti a utilizzare IP anonimi appartenenti a fornitori di servizi diversi dal provider di posta colpito, può essere utile prestare attenzione a questo aspetto in caso di messaggi sospetti.
Come accorgersi di una violazione dell’email
Dall’analisi è poi emersa la capacità dei criminali di temporeggiare, aspettando l’attimo propizio: possono compromettere un account di posta e solo in un secondo momento procedere con ulteriori attacchi. Dunque non è escluso che una casella di posta sia stata violata anche se l’utente non nota niente di strano, niente di diverso dal solito.
Ma a ben guardare i segnali spesso ci sono: può succedere, per esempio, che l’hacker una volta entrato modifichi le regole dell’Inbox o credi delle regole di inoltro dei messaggi, o ancora che cancelli la posta inviata (così da non lasciare tracce della propria attività). Altri indizi che dovrebbero far drizzare le antenne sono i login eseguiti orari insoliti o da località e indirizzi IP inconsueti. Il consiglio principe di Barracuda, ovviamente, è quello di dotarsi di soluzioni di protezione dell’email