woman scuba diving with fish

SessionShark, un kit di phishing-as-a-service (PhaaS) progettato per aggirare l’autenticazione a più fattori (MFA) di Microsoft Office 365.

Cos’è SessionShark?

SessionShark è un toolkit di phishing che consente agli attaccanti di bypassare l’MFA di Office 365 sfruttando tecniche di “adversary-in-the-middle” (AiTM). Il kit crea pagine di login false, identiche a quelle ufficiali di Office 365, per intercettare le credenziali e i token di sessione degli utenti. Una volta ottenuti questi token, gli attaccanti possono accedere agli account compromessi senza necessità di ulteriori autenticazioni.(LinkedIn)

Meccanismo di Attacco

  1. Creazione di Pagine di Phishing: SessionShark genera pagine di login che imitano perfettamente l’interfaccia di Office 365.(Cyber Security 360)
  2. Intercettazione delle Credenziali: Quando un utente inserisce le proprie credenziali su queste pagine, il toolkit le cattura in tempo reale.
  3. Furto dei Token di Sessione: Oltre alle credenziali, SessionShark estrae i token di sessione, che rappresentano l’autenticazione attiva dell’utente.(slashnext.com)
  4. Accesso Non Autorizzato: Con i token in possesso, gli attaccanti possono accedere agli account Office 365 senza dover superare ulteriori controlli di sicurezza.

Implicazioni per la Sicurezza

L’efficacia di SessionShark nel bypassare l’MFA solleva preoccupazioni significative:

  • Compromissione di Account Protetti: Anche gli account con MFA attivo possono essere vulnerabili.
  • Difficoltà di Rilevamento: Poiché l’accesso avviene con token validi, è difficile per i sistemi di sicurezza distinguere tra accessi legittimi e malevoli.
  • Distribuzione Facilitata: Essendo un servizio PhaaS, SessionShark è accessibile anche a cybercriminali con competenze tecniche limitate.(Dark Reading)

Contromisure e Raccomandazioni

Per mitigare i rischi associati a strumenti come SessionShark, si consiglia:

  • Formazione degli Utenti: Educare gli utenti a riconoscere tentativi di phishing e a verificare l’autenticità delle pagine di login.
  • Monitoraggio delle Sessioni: Implementare sistemi di rilevamento delle anomalie nelle sessioni per identificare accessi sospetti.
  • Revisione dei Token di Sessione: Ridurre la durata dei token di sessione e invalidarli dopo periodi di inattività.(Cyber Security 360)
  • Utilizzo di Soluzioni di Sicurezza Avanzate: Adottare strumenti che analizzano il comportamento degli utenti e rilevano attività anomale.(Cyber Security 360)

Conclusione

SessionShark rappresenta una minaccia concreta alla sicurezza degli account Office 365, dimostrando che l’MFA, sebbene fondamentale, non è infallibile. È essenziale adottare un approccio multilivello alla sicurezza, combinando tecnologie avanzate con una solida formazione degli utenti, per proteggere efficacemente le risorse aziendali.(Medium)