IKEA sotto attacco: colpito il sistema email con un diluvio di email di phishing interno ai dipendenti.

Bleeping Computer riporta notizia, grazie ad alcune fonti interne, di un cyber attacco che ha colpito i sistemi email della multinazionale IKEA. In dettaglio gli impiegati sarebbero sotto un diluvio di email di phishing interno che usa lo schema reply-chain email.

Reply-chain email: info sullo schema di attacco
Per prima cosa è utile delineare il tipo di attacco che ha colpito Ikea. Per  reply-chain email si intende un attacco in cui un attaccante riesce a rubare email legittime aziendali e inizia a rispondere a queste con un link contenente un allegato dannoso che, a sua volta, installa un malware sul dispositivo del ricevente. E' un tipo di attacco molto efficace perché le email sono solitamente inviate da account e server compromessi interni all'azienda: i destinatari quindi si fidano dei contenuti ricevuti, provenienti da fonti in teoria legittime e c'è un'alta probabilità che queste email siano aperte e i contenuti visualizzati.

Ikea: l'attacco è ancora in corso
Questa è la tipologia di attacco subita da Ikea e che il colosso sta ancora fronteggiando. Bleeping Computer ha avuto accesso ad alcune email con le quali IKEA avvisa i dipendenti dell'attacco in corso, della tipologia di attacco (risposte a scambi email precedenti) e del fatto che sono coinvolti anche fornitori e partner. 

Fonte: https://www.bleepingcomputer.com

"Questo significa l'attacco può arrivare via email da parte di qualcuno con cui lavori, da qualsiasi azienda esterna e come risposto ad una conversazione già in corso. (Questo attacco) è molto difficile da individuare, motivo per cui chiediamo a tutti estrema cautela" si legge.

Reply chain email: il falso documento Office

Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

Vicino alle feste, che sia Natale, Pasqua, San Valentino fioccano gli articoli, gli alert, gli annunci riguardo ai rischi che si corrono pagando online: in questo caso però l'alert è "reale" nei termini che è stato individuato un volume tale di attacchi contro gli shop online da aver spinto il National Cyber Security Centre (NCSC) del Regno Unito a pubblicare un alert ad hoc su Magecart. 

MageCart: la campagna per il furto di carte di credito
MageCart è una minaccia informatica tutt'altro che nuova. Il problema è che non si riesce ad arginarla, ormai da anni, cosa che l'ha fatta assurgere al podio delle campagne di attacco contro il settore del retail e dello shopping online. 

Partiamo dall'inizio: MageCart, ovvero il "Carrello dei Maghi"  è il nome di un gruppo di cyber attaccanti che si è specializzato nel furto dei dati relativi alle carte di credito. Per ottenere tali dati questo gruppo attacca preventivamente gli e-commerce e inizia a raccogliere i dati che gli utenti inseriscono volontariamente. Il gruppo non è insolito attaccare piccoli e-commerce, ma ha messo le mani anche in contesti dove c'è abbondante miele: tra le vittime troviamo nomi quali British Airways, Ticketmaster, diverse catene alberghiere multinazionali ecc... Predilige gli attacchi sugli Amazon S3 Buckets non configurati correttamente: quello di Amazon è un servizio molto molto diffuso e utilizzato da aziende di piccole e grandi dimensioni e questo lo rende un obiettivo molto ghiotto. 

E' utile fornire qualche numero per concretizzare il rischio. RiskIQ, società di sicurezza americana, ha studiato e monitorato a lungo queste campagne di attacco: nel 2019 il 17%  degli annunci dannosi presenti nel web (malvertising) afferivano a campagne MageCart. L'alert dell'NCSC consegue al fatto che in pochissimi giorni sono stati violati oltre 4000 negozi online inglesi proprio a ridosso del black friday. 

Una particolarità: MageCart ha sviluppato un sistema di processi del tutto automatizzati che compromettono gli shop online senza necessità di intervento manuale da parte dei membri del gruppo. 

MageCart e il web skimming: la tecnica di attacco

L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima

Il CERT AGiD lancia l'allarme rispetto ad una tipologia di cyber attacco affatto nuova, ma che ha fatto registrare una preoccupante crescita: parliamo del phishing adattivo. Il report completo del CERT è disponibile qui, ne rendiamo per utilità i punti salienti.

Phishing adattivo: che cosa è?
Per iniziare è utile dare una definizione chiara di cosa si intenda per phishing adattivo: si parla di campagne di phishing che hanno la particolarità di adattare il loro contenuto secondo il dominio dell'azienda / organizzazione di appartenenza della vittima. 

Che differenza quindi con le classiche campagne di phishing?
Nella classiche campagne di phishing loghi, riferimenti, contatti, personalizzazioni vengono decisi e approntati in precedenza dagli autori: all'avvio, la campagna ha contenuti fissi, che non mutano. La novità è che sempre più spesso sono intercettate campagne di phishing i cui contenuti variano in base al profilo della vittima: i contenuti sono cioè dinamici e variano in base al dominio dell'indirizzo email della vittima stessa. 

Phishing adattivo: un esempio pratico

Disaster Recovery Plan: cosa è, perchè è necessario, come si appronta

Disaster Recovery Plan: che cosa é?
Il Disaster Recovery Plan (DRP) è parte integrante della più ampia strategia che ogni azienda dovrebbe implementare per garantire la continuità operativa (Business Continuity), ovvero la capacità di una azienda di mantenere le proprie attività nel caso si verifichi un incidente o una grave emergenza che possa compromettere i dispositivi e gli hardware, ma anche i dati, i software e i documenti ecc.. 

Il Disaster Recovery Plan altro non è che la formalizzazione di una serie di misure sia tecniche che organizzative da seguire per il ripristino più tempestivo possibile delle infrastrutture e dei sistemi di dati necessari per le attività aziendali. Precisiamo subito che il DRP non riguarda soltanto la minimizzazione del tempo in cui sistemi e dipendenti non possono essere operativi, ma anche la quantità di dati persi che un disastro può causare. 

Disaster Recovery Plan: perché è necessario?
Le notizie di aziende colpite duramente da attacchi malware o ransomware rimbalzano sempre più spesso, quindi non c'è troppo bisogno di dilungarsi sull'urgenza di inserire il cyber crime tra i rischi aziendali. Quel che forse è meno chiaro è che ormai non basta più il backup dei dati per riportare l'azienda all'operatività: dopo un incidente infatti si rende necessario non solo ripristinare i file, ma anche tutti i software e le funzionalità. Ad esempio, se un server è reso inattivo da un incidente, non basterà ripristinare i dati, ma sarà necessario reinstallarlo e/o riconfigurarlo. 

Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane

E' stato rintracciato online, nel famoso forum dell'undergorund hacker RaidForums, dai ricercatori della cybersecurity firm italiana Yoroi: è un database contenente i dati di quasi 4000 tra CEO, responsabili team IT e responsabili comunicazione / marketing e non solo di centinaia di aziende italiane ed europee. Si va da istituzioni pubbliche a provider di servizi fino a società di consulenza, la maggior parte dei quali afferenti al settore bancario e finanziario italiano, ma anche Telco ecc..

Il post su RaidForum nel darkweb

Il post in questione si intitola "Contacts of 3K Executives and employees of Italian & EU fintech companies" e contiene, tra i tanti contatti a livello europeo, quelli di 3887 contatti di italiani: nella foto sotto la pivot ordinata per mansione della vittima