Una nuova tipologia di attacchi sta mettendo a rischio la sicurezza informatica delle imprese. Portati alla luce e recentemente gestiti da Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity, tali attacchi utilizzano i siti per la pubblicazione e la condivisione di documenti (DDP – Digital Document Publishing). I criminali informatici sfruttano cioè questo tipo di siti internet per rubare le credenziali e i token di accesso utilizzando documenti malevoli. Gli attacchi che utilizzano i siti DDP sono quindi particolarmente pericolosi non solo perché moltissimi utenti non ne sono ancora a conoscenza, ma anche perché i sistemi di sicurezza non sempre sono in grado di rilevarli.
Come funzionano gli attacchi tramite i siti DDP?
La vittima riceve un messaggio con un oggetto “convincente” che include il nome dell’azienda per cui lavora e che contiene dei link che puntano a un documento ospitato su un sito DDP. Una volta aperto il file e dopo aver cliccato su uno dei link la vittima sarà traghettata, attraverso una serie di reindirizzamenti, su un sito controllato dall’avversario che imita una pagina di autenticazione progettata per rubare le credenziali di accesso. Inoltre questi attacchi utilizzano spesso caselle di posta aziendali già compromesse per prendere di mira un utente specifico e colpire anche i suoi contatti.
I siti DDP permettono un buon livello di personalizzazione, che aiuta a rendere l’attacco ancora più credibile: non solo è possibile personalizzare il documento, ma anche la pagina web che lo ospita. In questo modo i criminali possono replicare le pagine di accesso aziendali utilizzando lo stesso layout.
Un ulteriore vantaggio per i criminali informatici è la natura temporanea di queste pagine, particolarità che complica ulteriormente il processo di rilevamento e di risposta da parte dei team di cybersecurity: i criminali informatici possono impostare una scadenza dei contenuti pubblicati, garantendo in questo modo che vengano cancellati automaticamente e non siano più rintracciabili.
I consigli per difendersi
Grazie a strumenti di rilevamento e risposta degli endpoint (EDR), come Cisco Secure Endpoint, è possibile bloccare l’utilizzo dei siti DDP. Se il blocco di questi siti interrompe le normali operazioni aziendali, i team di cybersecurity possono impostare una procedura in grado di bloccare i domini dei siti contenuti nei messaggi di phishing. È anche utile configurare dei controlli di sicurezza sulle caselle di posta elettronica al fine di rilevare e analizzare URL ai siti DDP. Infine, è essenziale investire nella formazione degli utenti per aggiornarli sul panorama delle minacce informatiche e aiutarli a essere vigili, segnalando tempestivamente messaggi di posta elettronica sospetti.