I ricercatori di Check Point hanno individuato una nuova campagna di phishing che sfrutta “Dynamics 365 Customer Voice” di Microsoft, un prodotto software per la gestione delle relazioni con i clienti, che viene spesso utilizzato per registrare le chiamate dei clienti e monitorarne le recensioni, condividere sondaggi e tenere traccia dei feedback.
Microsoft 365 è utilizzato da oltre 2 milioni di organizzazioni in tutto il mondo. Almeno 500.000 aziende utilizzano Dynamics 365 Customer Voice, tra cui il 97% delle aziende Fortune 500.
In questa campagna, i criminali informatici inviano file e fatture aziendali da account compromessi, includendo falsi link a Dynamics 365 Customer Voice. La configurazione dell’e-mail sembra legittima e induce facilmente i destinatari a cadere vittime di questa trappola.
Nell’ambito di questa campagna, i criminali informatici hanno inviato oltre 3.370 e-mail, il cui contenuto ha raggiunto i dipendenti di oltre 350 organizzazioni, la maggior parte delle quali americane. Sono state prese di mira più di un milione di caselle di posta elettronica.
Tra le entità colpite figurano enti sociali, college e università, testate giornalistiche, un importante gruppo di informazione sulla salute e organizzazioni che promuovono l’arte e la cultura.
Dettagli sull’esecuzione della campagna:
Le e-mail di phishing sono incentrate su temi finanziari. Le righe dell’oggetto parlano solitamente di estratti conto, informazioni su trasferimenti elettronici di fondi (EFT) o informazioni sulla chiusura.
Come accennato in precedenza, le e-mail includono link fasulli che mostrano ai destinatari di aver ricevuto un nuovo messaggio vocale o un documento PDF. Tutti i messaggi sono destinati ad apparire legittimi, come mostrano gli esempi seguenti:
In quest’ultima e-mail, gli aggressori hanno lasciato un link legittimo incorporato nella pagina e hanno aggiunto un link falso.
Quando i destinatari fanno clic sui link illegittimi, vengono indirizzati a un test Captcha, che ha lo scopo di convincere i destinatari che non stanno interagendo con un’e-mail di phishing e che invece stanno interagendo con una richiesta autentica.
Successivamente, il destinatario viene indirizzato a un sito di phishing che imita una pagina di login di Microsoft. È qui che gli aggressori tentano di rubare le informazioni degli utenti.
L’obiettivo principale di questa campagna di phishing è quello di carpire le credenziali degli utenti. Nel caso in cui i criminali informatici abbiano successo, possono ottenere l’accesso non autorizzato a informazioni e sistemi sensibili. Di conseguenza, le organizzazioni potrebbero assistere alla manipolazione di account interni, al furto di fondi e/o a interruzioni operative.
Microsoft ha bloccato alcune di queste pagine di phishing. Tuttavia, è possibile che alcuni tentativi abbiano raggiunto le caselle di posta prima che le pagine venissero bloccate.
I responsabili della sicurezza informatica dovrebbero informare i dipendenti sulla possibilità di ricevere e-mail sospette e sull’importanza di confermarne i punti di origine, in particolare quelle che affermano di provenire dai servizi Microsoft, tra cui Dynamics 365 Customer Voice.
Le aziende devono assicurarsi di avere la più avanzata sicurezza per la posta elettronica possibile.
Check Point ha bloccato con successo le e-mail di questa campagna estraendo i link, e aggiungendo livelli di sicurezza ai prodotti per prevenire e rilevare future minacce correlate.
