Dentro il manuale dell’impostore: come gli hacker dirottano gli helpdesk per infiltrarsi nelle aziende

Tutto inizia con un messaggio amichevole su Teams da qualcuno che sostiene di essere “Supporto IT”. Viene segnalato un problema, viene offerta una soluzione e, prima che tu te ne accorga, stai consegnando le chiavi del tuo regno digitale - il tutto sotto l’illusione di una normale assistenza helpdesk. Benvenuti nell’ultima ondata di violazioni in ambito enterprise, dove i criminali informatici non si limitano a falsificare email: impersonano il tuo reparto IT e usano strumenti Microsoft legittimi per integrarsi senza attriti nelle operazioni quotidiane della tua organizzazione.

L’anatomia di un attacco helpdesk ingannevole

Indagini recenti rivelano una catena d’attacco sofisticata che sfrutta le funzionalità di collaborazione esterna di Microsoft Teams e Windows Quick Assist, uno strumento legittimo di assistenza remota. Gli attaccanti si mascherano da personale IT dell’azienda, usando nomi come “Help Desk” per avviare chat e chiamate che sembrano di routine. Sebbene Teams mostri etichette per gli esterni e prompt di avviso, gli script convincenti degli attaccanti spesso persuadono gli utenti a ignorare queste misure di sicurezza.

Per aumentare il senso di urgenza, gli attaccanti talvolta combinano la chat con il voice phishing - spingendo i bersagli ad agire rapidamente e a saltare le verifiche. Una volta stabilito un rapporto, le vittime vengono guidate ad avviare una sessione Quick Assist, inserire un codice e approvare tutti i prompt. Questo consegna all’attaccante il controllo remoto della workstation, il tutto con il pretesto di risolvere un problema inesistente.

Nel giro di pochi minuti, gli avversari sondano il sistema con PowerShell e cmd.exe per valutare privilegi e accesso alla rete. Se il dispositivo dispone di privilegi sufficienti, distribuiscono file piccoli e apparentemente innocui - spesso camuffati da aggiornamenti - utilizzando tecniche avanzate come il DLL sideloading. Ciò consente al codice malevolo di essere eseguito all’interno di processi fidati e firmati dal vendor, mascherandone il vero intento.

Il toolkit degli attaccanti è leggero in termini di file e furtivo: impostazioni cifrate vengono nascoste nel registro, le connessioni in uscita imitano il normale traffico web e il furto di dati viene eseguito usando utility di sincronizzazione cloud come Rclone. Il movimento laterale avviene tramite protocolli amministrativi nativi di Windows, prendendo di mira sistemi ad alto valore come i domain controller. Per consolidare la presenza, gli attaccanti possono installare software commerciale di gestione remota, fornendo un accesso persistente e occulto.

Perché questo attacco funziona - e come contrastarlo

Ciò che rende questa campagna così pericolosa è la sua capacità di aggirare le difese basate sulle email e di sfruttare la fiducia implicita nei canali di supporto interni. Ogni passaggio fa leva su strumenti e flussi di lavoro legittimi, rendendo il rilevamento difficile sia per gli utenti sia per i sistemi di sicurezza. L’attacco è particolarmente efficace nelle organizzazioni che fanno ampio affidamento su Teams e sul supporto remoto.

Le difese devono evolvere. Microsoft consiglia di irrigidire le impostazioni di collaborazione esterna, limitare chi può avviare sessioni remote, rafforzare i sistemi contro il DLL sideloading e monitorare l’uso di strumenti sospetti. Sono inoltre raccomandati l’abilitazione di funzionalità come Safe Links e Zero-hour Auto Purge (ZAP), l’applicazione dell’autenticazione multifattore per i ruoli privilegiati e la limitazione degli strumenti amministrativi alle workstation autorizzate.

In definitiva, la consapevolezza degli utenti è fondamentale. Le organizzazioni dovrebbero formare il personale a riconoscere i banner di avviso, a mettere in dubbio richieste non sollecitate di assistenza remota e a comprendere come il vero supporto IT prende contatto. Correlare la telemetria di sicurezza tra piattaforme di identità, endpoint e collaborazione può aiutare a individuare e bloccare questi attacchi prima che degenerino in violazioni su larga scala.

Conclusione

Questa nuova generazione di attacchi basati sull’impersonificazione dell’helpdesk è un campanello d’allarme: quando gli attaccanti trasformano in arma la fiducia e gli strumenti legittimi, le sole difese tecniche non bastano. Solo una combinazione di controlli più intelligenti e utenti vigili può tenere a bada gli impostori.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre il rischio di compromissione degli account aziendali in scenari di social engineering come quelli descritti, dove l’attaccante punta a ottenere credenziali e accesso remoto. Supporta autenticazione forte con standard FIDO2/WebAuthn e U2F, oltre a OTP e smart card (PIV), e funziona con molti servizi cloud e ambienti Microsoft che permettono l’accesso con MFA resistente al phishing. L’uso di una chiave fisica rende molto più difficile per un impostore completare login fraudolenti anche se l’utente viene convinto a “collaborare” via chat o assistenza remota. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Social Engineering: il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
• DLL Sideloading: il DLL sideloading si verifica quando gli attaccanti ingannano programmi fidati affinché carichino file di supporto malevoli (DLL) al posto di quelli legittimi, consentendo attacchi nascosti.
• Lateral Movement: il movimento laterale è quando gli attaccanti, dopo aver violato una rete, si spostano lateralmente per accedere ad altri sistemi o a dati sensibili, ampliando controllo e raggio d’azione.
• Remote Management Tools: gli strumenti di gestione remota permettono al personale IT di accedere e controllare i computer a distanza per supporto e manutenzione, ma possono essere abusati dagli hacker per un accesso furtivo.
• Credential Theft: il furto di credenziali avviene quando gli hacker sottraggono nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente agli account online.