Dietro il firewall: come gli hacker trasformano i giganti del cloud di fiducia in rifugi per il phishing

È un trucco di fiducia digitale che renderebbe orgoglioso anche il più navigato dei truffatori: gli hacker ora nascondono i loro kit di phishing in piena vista, usando i cloud e le content delivery network (CDN) più affidabili al mondo per lanciare attacchi mirati. Sfruttando la buona reputazione di giganti tecnologici come Microsoft, Google e Amazon, i cybercriminali stanno bypassando i vecchi sistemi di rilevamento e si insinuano direttamente nelle caselle di posta e nelle reti aziendali. Il risultato? Un punto cieco in crescita nelle difese enterprise - che viene sfruttato senza pietà.

La tattica emergente è al tempo stesso semplice e ingegnosa: invece di creare nuovi domini sospetti, gli attaccanti si appoggiano a servizi cloud consolidati. I vendor di sicurezza spesso inseriscono questi domini in whitelist, confidando che il traffico proveniente, per esempio, da blob.core.windows.net (Microsoft Azure) o firebasestorage.googleapis.com (Google Firebase) sia sicuro. Ma quella fiducia ora è una responsabilità. Kit di phishing - tra cui i noti Tycoon ed EvilProxy - vengono distribuiti su queste piattaforme, completi di pagine di login false convincenti e script per rubare credenziali.

Una campagna particolarmente sofisticata, soprannominata Sneaky2FA, dimostra il livello di targeting in gioco. Ospitata su Google Firebase, filtra i domini email gratuiti ed elabora i login solo da account aziendali, aumentando drasticamente le probabilità di compromettere obiettivi di alto valore. Gli attaccanti usano finte pagine di accesso Microsoft 365 che imitano i flussi di autenticazione reali, rendendo quasi impossibile per gli utenti medi accorgersi dell’inganno.

Perché funziona così bene? Perché la stessa infrastruttura che distribuisce contenuti aziendali legittimi ora distribuisce payload di phishing. Il traffico di rete verso questi servizi cloud sembra normale - finché le credenziali non vengono sottratte. I metodi di rilevamento tradizionali - come segnalare domini nuovi o sospetti - non bastano, creando un enorme varco nelle difese enterprise.

Gli esperti affermano che la soluzione sta nel passare da un rilevamento statico basato sulla reputazione a un’analisi comportamentale dinamica. Esaminando come gli utenti interagiscono con i siti, analizzando il comportamento dei payload e monitorando i segnali di rete, i team di sicurezza possono individuare attività malevole anche quando si nascondono dietro un dominio fidato. Le piattaforme di threat intelligence e gli strumenti di sandboxing si stanno rivelando fondamentali, esponendo rapidamente queste campagne e riducendo drasticamente i tempi di risposta.

Per i difensori, questo significa cambiare rotta: cercare schemi di abuso dell’infrastruttura invece che solo nomi di dominio loschi. Eseguendo query di threat intelligence sui provider cloud, le organizzazioni possono scoprire ulteriore infrastruttura di phishing annidata nell’ombra. La posta in gioco è alta e, man mano che gli attaccanti diventano più audaci, solo un approccio stratificato e adattivo può mantenere le aziende un passo avanti.

Man mano che le linee tra infrastruttura legittima e malevola si sfumano, il campo di battaglia cyber cambia. Le aziende devono riconoscere che la fiducia, un tempo pilastro della sicurezza, può ora essere la loro più grande vulnerabilità. Solo adottando un rilevamento più intelligente e sensibile al contesto le organizzazioni possono sperare di recuperare i propri punti ciechi - e fermare i phisher nascosti dietro i marchi più affidabili al mondo.

WIKICROOK

• Kit di phishing: un kit di phishing è un insieme di strumenti pronti all’uso che consente ai criminali di creare rapidamente siti web falsi e rubare informazioni sensibili degli utenti.
• Infrastruttura cloud: l’infrastruttura cloud è la base online di hardware e software che permette alle aziende di archiviare dati ed eseguire servizi da remoto, non su dispositivi locali.
• Content Delivery Network (CDN): una Content Delivery Network (CDN) è una rete di server distribuiti che consegna rapidamente contenuti web agli utenti in base alla loro posizione geografica.
• Indicatore di compromissione (IOC): un indicatore di compromissione (IOC) è un indizio, come un file o un indirizzo IP sospetto, che segnala che un sistema potrebbe essere stato violato.
• Analisi comportamentale: l’analisi comportamentale studia le azioni normali di utenti e sistemi per identificare attività insolite o sospette, aiutando a rilevare precocemente potenziali minacce alla sicurezza.