La piattaforma Websense ThreatSeeker Intelligence Cloud ha identificato una campagna di phishing che colpisce il settore sanitario, in particolare gli ospedali, rubando le credenziali di Outlook.
Si tratta di un'attività che rientra nell'attuale tendenza di attacchi phishing che hanno come obiettivo le credenziali degli utenti nella Sanità (per esempio, la violazione CHS), insieme al trend di phishing che invece mira alle credenziali aziendali di Outlook.
Le stesse tecniche vengono utilizzate per attaccare anche altre tipologie di organizzazione. Sono bersagli precisi, che vengono presi di mira con poche email ben congeniate. Nel caso in esame, per esempio, sono state spedite a un ospedale statunitense 200 messaggi diretti.
Login di Outlook falso residente sul sito malevolo
Come si può intuire, ottenere l'accesso alle credenziali aziendali di Outlook permette agli hacker di avere un punto di appoggio all'interno dell'organizzazione della vittima. Questo consente di cercare altri obiettivi ad alto valore.
Per esempio, da un account aziendale diviene possibile inviare email che sembrano legittime per ottenere informazioni aggiuntive e accedere all'infrastruttura strategica o ai dati. Inoltre, consente agli hacker di sfruttare la buona reputazione degli account compromessi per colpire gli altri contatti all'interno dell'azienda.
Nel mirino, ovviamente, anche i dati dei i pazienti, che per gli hacker sono facilmente vendibili, ma nel caso di altre organizzazioni l'obiettivo può essere anche più specifico: magari un brevetto, per un furto su commissione.
Tipicamente l'attacco è multifase. I clienti di Websense, fanno sapere dalla società statunitense, sono protetti da queste minacce grazie ad ACE, Advanced Classification Engine, che si attiva in queste diverse fasi:
- Fase 2 (Esca) - ACE rileva l'email esca;
- Fase 3 (Reindirizzazione) - ACE rileva il. link contenuto nell'email esca e la destinazione finale del sito di phishing.
L'email esca avverte della chiusura della posta elettronica
Viene inviata una email di phishing con l'oggetto "Your Mailbox account closure", invitando gli utenti a cliccare su un link. La campagna è altamente mirata. La telemetria ThreatSeeker mostra che Websense Cloud Email Security ha bloccato, come accennato, meno di 200 messaggi di questo tipo, tutti destinati a un'organizzazione sanitaria degli USA; tutti inviati in meno di un'ora.
La campagna è poi proseguita su altri obiettivi, sfruttando un account compromesso della precedente azienda: in pratica passando da una società infetta all'altra e traendo vantaggio dalla reputazione delle aziende colpite. Secondo quanto riportato dai laboratori di Websense, sarebbero già 4,5 milioni i clienti degli ospedali di cui sono stati copiati i dati.
Il primo account utilizzato, è interessante osservare, proveniva da un fornitore del settore sanitario, quindi con una buona reputazione all'interno dei sistemi di protezione email della vittima. È così che si può ingannare questi ultimi se basano i controlli sulla reputazione.
Il link porta a una pagina di login Outlook dall'aspetto legittimo, che viene usata per rubare le credenziali.
I tecnici di Websense osservano, guardando le 5 principali minacce ospitate nei sottodomini di "URL.PH", usato per questo attacco, ritengono che negli ultimi mesi la campagna si stia intensificando. Il monitoraggio continua e sul blog dei laboratori Websense ne danno conto.