Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Due tentativi andati a vuoto e poi il terzo quello giusto.
È così che un attaccante è riuscito a entrare, senza exploit strani o falle da manuale. Solo voce, fiducia e un pizzico di pressione.
La storia emerge da un’indagine condotta dal team di risposta agli incidenti di Microsoft, e racconta qualcosa che ormai si vede sempre più spesso: non serve rompere sistemi complessi, basta convincere qualcuno a fidarsi.
Tutto parte da Microsoft Teams. Chiamate vocali, apparentemente interne, con qualcuno che si spaccia per supporto IT. Una scena banale, quasi quotidiana.
Ti è mai capitato di ricevere una richiesta urgente dall’IT?
Dopo due tentativi falliti, al terzo un dipendente concede l’accesso remoto tramite Quick Assist. Da lì, la porta è aperta. L’attaccante passa da semplice inganno a controllo diretto, guidando l’utente verso un sito sotto il suo controllo.
Una volta stabilito l’accesso, il gioco cambia ritmo. L’utente inserisce le credenziali in una pagina fake, convinto di fare la cosa giusta.
Poi arrivano i file. Uno in particolare, un pacchetto MSI camuffato, sfrutta meccanismi legittimi di Windows per caricare una DLL dannosa. Tutto sembra normale, ma non lo è.
Da lì si attiva la comunicazione con l’esterno, e l’attaccante può eseguire codice come se fosse software affidabile. Subdolo… fin troppo.
Non si fermano al primo accesso. Altri componenti entrano in gioco: loader cifrati, strumenti amministrativi usati per eseguire comandi, connessioni proxy per nascondere le tracce.
Piano piano, raccolgono credenziali, intercettano sessioni e si muovono senza dare nell’occhio. Nessun allarme evidente, nessun segnale plateale. Solo attività che sembrano normali.
E questo è il punto che fa riflettere.
Il Detection and Response Team (DART) interviene rapidamente, concentrandosi sull’origine dell’intrusione e sul suo perimetro. L’attacco, per fortuna, è rimasto limitato e di breve durata.
Vengono applicate misure per bloccare i movimenti laterali e proteggere gli asset più sensibili. Le analisi confermano che gli obiettivi dell’attaccante non sono stati raggiunti e che non sono rimasti meccanismi persistenti.
Insomma, danni contenuti. Ma poteva andare diversamente.
Qui non c’è una vulnerabilità tecnica da patchare. C’è qualcosa di più umano.
Le persone sono abituate ad aiutare, a rispondere, a fidarsi quando sembra tutto legittimo.
Ed è proprio lì che colpiscono.
Le piattaforme di collaborazione diventano terreno fertile per creare urgenza e credibilità. Una chiamata, una richiesta plausibile e la guardia si abbassa.
Secondo quanto evidenziato nella ricerca di Microsoft, le contromisure passano da scelte concrete.
Limitare le comunicazioni esterne su Teams, permettere contatti solo da domini fidati, rivedere l’uso degli strumenti di accesso remoto. Anche disabilitare ciò che non serve, come Quick Assist in certi contesti.
Non è una rivoluzione. È più una questione di disciplina.
Questi attacchi non fanno rumore. Non rompono niente… almeno all’inizio. Si insinuano, lentamente, sfruttando abitudini e fiducia. Ed è proprio questo che li rende pericolosi.
Per la community di Red Hot Cyber La lezione è chiara: il perimetro non è più solo tecnico. Le identità e i comportamenti umani e la psicologia umana sono diventati il vero punto di ingresso. Difendersi richiede visibilità, ma anche cultura. E forse è proprio su questo secondo aspetto che siamo ancora indietro.
