Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Email “interne” false in Microsoft 365: un errore di routing MX spalanca il phishing e ruba credenziali
Una configurazione errata del routing delle email può aprire la porta a un tipo di phishing particolarmente insidioso, in cui i messaggi sembrano provenire dallo stesso dominio interno dell’organizzazione. Questo scenario colpisce soprattutto ambienti con flussi di posta complessi, dove il record MX non punta direttamente a Microsoft 365 ma passa prima da un server Exchange on premises o da un servizio terzo, ad esempio filtri antispam o sistemi di archiviazione.
In assenza di controlli anti-spoofing applicati in modo rigoroso, gli attaccanti possono sfruttare il gap creato dal percorso di inoltro per far arrivare email falsificate che appaiono come comunicazioni interne legittime.
Il rischio principale è il furto di credenziali, spesso con l’obiettivo di accedere a servizi cloud, caselle di posta e applicazioni aziendali. Una volta ottenuto l’accesso, le conseguenze possono includere furto di dati, movimenti laterali e Business Email Compromise con tentativi di frode verso reparti amministrativi e finanziari. Negli ultimi mesi si è osservato un aumento di campagne opportunistiche che sfruttano questa tecnica, con esche basate su voicemail, documenti condivisi, comunicazioni HR, reset o scadenza password e finte richieste di verifica account.
Un elemento che rende queste campagne più efficaci è l’uso di piattaforme phishing-as-a-service, kit pronti all’uso che permettono anche a criminali con competenze limitate di lanciare attacchi su larga scala. Questi strumenti offrono template personalizzabili, infrastruttura già predisposta e tecniche per aggirare la multi-factor authentication, ad esempio tramite phishing adversary-in-the-middle.
Oltre al credential phishing, sono stati rilevati messaggi orientati alla truffa finanziaria con finte fatture e allegati costruiti per aumentare la credibilità, come moduli fiscali e lettere bancarie. In molti casi la particolarità visibile per l’utente è che il campo From e To può mostrare lo stesso indirizzo o comunque un mittente interno familiare, riducendo la diffidenza.
Per ridurre la superficie di attacco è fondamentale applicare policy DMARC in modalità reject, configurare SPF in hard fail, verificare con attenzione i connettori di terze parti e limitare funzioni non necessarie come Direct Send. I tenant con MX puntato direttamente a Office 365 risultano in genere non esposti a questo specifico vettore.