Un nuovo attacco minaccia gli utenti di Microsoft 365
L'FBI ha scoperto una nuova minaccia su Internet, identificata come Kali365, che prende di mira principalmente gli utenti della suite di servizi cloud Microsoft 365. Si tratta di una piattaforma di phishing come servizio (phishing-as-a-service) che si sta diffondendo tra i criminali informatici principalmente attraverso la popolare app di messaggistica Telegram. Secondo l'FBI, questa piattaforma abbassa significativamente la soglia di accesso per condurre attacchi, consentendo anche a malintenzionati con scarti tecnici di accedere a esche "di pesca" generate dall'intelligenza artificiale.
L'attacco viene sferrato alle vittime tramite e-mail. L'utente riceve inizialmente un'e-mail che afferma falsamente di provenire da un servizio di produttività cloud o da una piattaforma di condivisione documenti affidabile. Il messaggio include un codice specifico per il dispositivo e le istruzioni per visitare una pagina di verifica legittima di Microsoft e inserire il codice.
Quando il destinatario apre effettivamente il sito web ufficiale di Microsoft e digita o incolla il codice al suo interno, condivide inconsapevolmente il proprio codice di accesso "OAuth" con l'attaccante. Quest'ultimo può quindi utilizzare queste informazioni sul proprio computer per ottenere l'accesso diretto all'account Microsoft 365 della vittima. L'FBI avverte che, una volta completata con successo la procedura, i criminali informatici possono accedere liberamente a servizi chiave come Outlook, Teams e OneDrive senza dover inserire una password o intraprendere ulteriori passaggi per l'autenticazione a più fattori.
Proofpoint sottolinea che questo tipo di phishing dei dispositivi sta vivendo un'esplosione nel mondo delle minacce informatiche, con nuovi strumenti che emergono ogni settimana. Questa crescita esponenziale coincide direttamente con la divulgazione pubblica di strumenti criminali e con la comparsa di numerose offerte di phishing come servizio. La maggior parte delle difese contro questo tipo di minaccia viene implementata a livello aziendale, dove il blocco dell'autenticazione dei dispositivi o l'implementazione di politiche di accesso condizionale possono contribuire a prevenire o limitare questi attacchi.
Per gli utenti comuni, tuttavia, è fondamentale essere consapevoli che i token possono essere rubati in questo modo e utilizzati sul dispositivo di un malintenzionato. Pertanto, è essenziale usare il buon senso. Ciò significa non cliccare su link a documenti che non ci si aspetta di ricevere, diffidare di qualsiasi email che richieda un'azione e verificare sempre la validità del messaggio prima di cliccare.






















