Il phishing rimane un caposaldo del cybercrimine, più o meno mirato, anzi è ancora il principale vettore di attacco (stando all’ultimo report trimestrale di Cisco) ed è una minaccia multiforme, che viaggia via email, via Sms e sui social media. Un nuovo report di Barracuda evidenzia i recenti cambiamenti del “mercato” del phishing ma anche una tattica di attacco in ascesa, che sfrutta l’autenticazione tramite codice dispositivo.
Lo scenario, un po' come accade con le gang di ransomware, è segnato dalle operazioni di polizia postale che riescono a smantellare alcuni gruppi ma, spesso, non ad azzerarne le attività dirette o indirette. Dopo aver imperversato veicolando oltre nove milioni di attacchi al mese, lo scorso marzo la piattaforma Tycoon 2FA è stata smantellata grazie a un’operazione internazionale, capeggiata dall’Europol e da Microsoft. Tycoon 2FA è un kit di phishing fruibile “a servizio” (o un Phishing as-a-Service, PhaaS, che dir si voglia) in circolazione almeno fin dal 2023, che per anni ha consentito di realizzare attacchi sugli account Microsoft 365 Gmail aggirando i meccanismi di autenticazione a due fattori.
Morte e seconda vita di Tycoon 2FA
Come racconta Barracuda, in seguito allo smantellamento del gruppo che controllava Tycoon 2FA le attività basate su questo strumento sono calate del 77%. Altri soggetti malintenzionati, però, si sono attivati per accaparrarsi la “quota di mercato” del gruppo messo fuori gioco. Mamba 2FA è diventata la piattaforma di phishing dominante, con un numero di attacchi mensili raddoppiato, fino a 15 milioni. EvilProxy è salita a circa quattro milioni di attacchi, mentre Sneaky 2FA ha triplicato la propria attività, fino a quasi due milioni di operazioni al mese.
E lo stesso Tycoon 2FA, benché l’attività alla fonte sia stata bloccata, è ancora responsabile di oltre due milioni di attacchi al mese. A detta di Barracuda, questa persistenza è dovuta a diversi elementi, in primis il fatto che non tutti gli elementi della piattaforma siano stati dismessi, e dunque versioni del codice clonate e modificate sono ancora in circolazione. Inoltre oggi gli autori di attacchi sono diventati abili nell’arte del “riciclio”, cioè sempre più spesso riutilizzano e adattano codice di phishing esistente per realizzare nuove campagne.
Un terzo fattore che spiega la persistenza di Tycoon 2FA è che dopo lo smantellamento di gruppi cybercriminali possono restare attive alcune infrastrutture, per esempio domini e l’hosting di backup, sufficienti per gestire campagne su piccola scala. Quarto punto, i moderni framework di phishing prevedono una ridondanza di risorse, che premette una rapida reimplementazione dopo un'interruzione. Ultimo punto, i dati di sessione e i token rubati possono mantenere l'accesso non autorizzato anche in seguito allo smantellamento di un’infrastruttura di phishing.
La nuova frontiera: il phishing tramite codice dispositivo
Barracuda ci parla anche di un fatto già evidenziato da Microsoft qualche mese fa: l’ascesa del phishing del codice dispositivo. Si sfrutta, cioè, li meccanismo che consente a un utente di accedere a un determinato device (di solito sistemi con interfacce limitate, come televisori, stampanti o strumenti con interfaccia a riga di comando) inserendo il codice ricevuto su un altro dispositivo di suo possesso, per esempio un Pc o uno smartphone.
In genere, gli aggressori richiedono un codice dispositivo reale a Microsoft e poi inviano alle vittime un'esca di phishing che le induce a inserire il codice in una pagina di accesso legittima, come "microsoft.com/devicelogin". Quando la vittima completa l'autenticazione, l'aggressore riceve token di accesso e di aggiornamento OAuth validi.
Le conseguenze possono essere pesanti: il phishing tramite codice dispositivo può consentire un accesso prolungato agli ambienti di posta elettronica e di gestione delle identità nel cloud senza che sia necessario rubare la password. La disponibilità di kit “as-a-Service” per questo genere di phishing, come EvilTokens, ne ha favorito la diffusione su larga scala: Barracuda ha rilevato oltre sette milioni di attacchi di questo genere in un mese.
Per chi attacca, questo approccio presenta diversi vantaggi rispetto al phishing tradizionale, tra cui il fatto di utilizzare Url autentici, il che rende più difficile il rilevamento. Questo metodo, inoltre, aggira l’autenticazione a più fattori e le policy di accesso condizionale, poiché è la vittima stessa ad autorizzare il nuovo dispositivo. L’inganno riesce facilmente, perché propone all’utente una procedura familiare, che non genera sospetto. Grazie ai token di aggiornamento, i cybercriminali ottengono un accesso continuativo per giorni o settimane. Ultimo vantaggio, questo metodo consente di dirottare le sessioni in modo invisibile senza attivare alcun allarme, rendendo possibile il movimento laterale.