Check Point: credenziali aziendali rubate finiscono su Internet, visibili a tutti

Check Point ha scoperto una campagna phishing potenzialmente molto pericolosa: gli aggressori hanno involontariamente reso visibili su internet diverse password rubate a migliaia di dipendenti aziendali. La campagna si prolungava da agosto 2020 con e-mail che avevano l’aspetto di notifiche di scansione Xerox, spingendo così gli utenti ad aprire un allegato HTML dannoso che ha bypassato il filtro ATP (Advanced Threat Protection) di Microsoft Office 365.  
Quindi, sono state rubate le credenziali aziendali di oltre mille dipendenti e memorizzate in apposite pagine web su server compromessi. Anche Google, che indicizza costantemente Internet, ha reso visibili queste pagine web. In altre parole, le credenziali rubate erano a disposizione di chiunque potesse richiedere a Google un indirizzo e-mail rubato, con una semplice ricerca su Google, chiunque avrebbe potuto trovare la password di uno degli indirizzi e-mail compromessi e rubati.   
David Gubiani, Regional Director SE EMEA Southern di Check Point: “Tendiamo a credere che quando qualcuno ruba le nostre password, la peggiore delle ipotesi è che le informazioni vengano utilizzate all’interno del dark web. Non in questo caso. Qui, tutte le persone avevano accesso alle credenziali rubate. La strategia degli aggressori è stata quella di memorizzare le informazioni rubate su una specifica pagina web da loro creata. In questo modo, dopo aver protratto le campagne per un certo periodo di tempo, gli aggressori hanno potuto scansionare i server compromessi per le rispettive pagine web, raccogliendo le credenziali. Però, non pensavano che anche Google è in grado di scansionare le stesse pagine. Si è trattato di un chiaro fallimento di operation security per gli aggressori.”