Il team di rilevamento e risposta di Microsoft ha smascherato una sofisticata operazione di vishing – il termine tecnico per indicare il phishing vocale – condotta attraverso telefonate su Teams. L'obiettivo dei truffatori era infiltrarsi negli account aziendali di un'importante società cliente. La scoperta solleva nuovi allarmi sulla vulnerabilità dei sistemi di comunicazione moderna, anche quando protetti da giganti del software come Redmond.
Secondo quanto documentato dai ricercatori di Redmond, il primo attacco è stato diretto contro più dipendenti dell'azienda bersaglio, contattati da un numero esterno apparso su Teams. Dopo due tentativi falliti di ingannare gli impiegati, al terzo colpo il cybercriminale ha sfondato la difesa psicologica di una vittima. Fingendosi un responsabile dell'assistenza informatica interna, il truffatore è riuscito a convincere il dipendente a eseguire Quick Assist, lo strumento di Windows che consente il controllo remoto del computer. È stato il primo passo decisivo verso la compromissione totale.
Una volta ottenuto accesso alla macchina, gli attaccanti hanno indirizzato la vittima verso un modulo web dove inserire le credenziali del suo account Microsoft. Il piano prevedeva anche il download di tre file sospetti da un dominio controllato dai malintenzionati. Tra questi, un installer MSI ha dispiegato una libreria dinamica (DLL) progettata per stabilire comunicazioni clandestine con un server di comando e controllo remoto. Ma il vero colpo di grazia era rappresentato da RustyStealer, un infostealer sofisticato capace di carpire password e token di sessione: una chiave d'accesso virtualmente illimitata all'intero ecosistema digitale della vittima.
Sebbene gli attaccanti abbiano completato gran parte del loro lavoro sporco, il loro tentativo finale di accedere agli account da remoto è stato bloccato dal sistema di sicurezza. Il team di Microsoft ha ripulito il computer infetto e confermato l'assenza di backdoor o altri meccanismi di persistenza che avrebbero permesso futuri accessi non autorizzati. Ciononostante, l'incidente mette a nudo una verità scomoda: le difese tecniche sofisticate rimangono inutili quando l'anello debole della catena rimane l'elemento umano.
Microsoft mette in guardia le aziende sul fatto che gli attacchi di ingegneria sociale mantengono un tasso di successo inquietantemente elevato, spesso in grado di bypassare anche le protezioni più robuste. L'azienda raccomanda alle organizzazioni di implementare una stretta lista di autorizzazione per le comunicazioni esterne via Teams, vietando le chiamate da utenti non verificati. Altrettanto cruciale è disabilitare o rimuovere completamente strumenti come Quick Assist dai computer aziendali, a meno che non siano essenziali per le operazioni quotidiane. Inoltre, la sensibilizzazione dei dipendenti rimane una contromisura irrinunciabile contro questi sofisticati tentativi di frode vocale.
