CalPhishing: La nuova frontiera delle truffe corre sul calendario aziendale

Scopri come i criminali informatici sfruttano gli inviti .ics per superare le difese e rubare i dati di accesso a Microsoft 365.

Negli ultimi anni abbiamo imparato a diffidare di e-mail sospette e SMS ambigui, ma oggi i cybercriminali hanno trovato un nuovo “punto cieco” nella nostra routine digitale: il calendario aziendale. Una recente analisi pubblicata da Fortra ha messo in luce una campagna malevola sofisticata che utilizza i comuni file di invito ai meeting per veicolare attacchi di phishing, una tecnica ribattezzata CalPhishing.

Vediamo insieme come difendersi da questa nuova minaccia.

Che cos’è il CalPhishing?
Come funziona l’attacco via file .ics
Il pericolo della persistenza post-consegna
Evintene e ConsentFix: gli strumenti degli hacker
Come proteggersi dal CalPhishing

Che cos’è il CalPhishing?

Il CalPhishing (Calendar Phishing) è una variante del phishing tradizionale che utilizza i file di calendario, solitamente in formato .ics, per inserire link malevoli o allegati infetti direttamente nell’agenda dell’utente.

A differenza di una normale email, che può essere facilmente intercettata dai filtri antispam, un invito di calendario viene spesso percepito come un elemento operativo legittimo, sfruttando l’elevato livello di fiducia che i dipendenti ripongono nei propri strumenti di pianificazione quotidiana.

Come funziona l’attacco via file .ics

La truffa inizia con la ricezione di un’email che contiene un allegato iCalendar (.ics). I client di posta più diffusi, come Microsoft Outlook, riconoscono automaticamente questo formato e interpretano il file come una richiesta di riunione standard.

Il rischio maggiore deriva dal fatto che, in molte configurazioni aziendali, questi inviti vengono aggiunti automaticamente al calendario come “provvisori”, generano notifiche e promemoria che aumentano la credibilità dell’inganno agli occhi della vittima. Spesso, i messaggi utilizzano toni urgenti o allarmanti per spingere l’utente a cliccare immediatamente sul contenuto malevolo.

Il pericolo della persistenza post-consegna

Uno degli aspetti più insidiosi evidenziati dalle fonti è la cosiddetta “post-delivery persistence”. In molti ambienti Microsoft 365, l’evento nel calendario può rimanere visibile anche se l’email originale che lo conteneva viene successivamente identificata come malevola e messa in quarantena o eliminata dai sistemi di sicurezza.

Questo significa che l’attacco resta “vivo” nell’agenda dell’utente per giorni o settimane, pronto a colpire non appena la vittima consulta i propri impegni.

Evintene e ConsentFix: gli strumenti degli hacker

Secondo le analisi di Fortra, queste campagne non mirano solo a rubare le password, ma utilizzano kit avanzati come EvilTokens. Questo framework è progettato per sottrarre i token di autenticazione, permettendo ai criminali di bypassare anche l’autenticazione a più fattori (MFA) e accedere alle sessioni degli utenti.

Leggi anche “Sicurezza online: proteggi i tuoi account con l’autenticazione a due fattori“

Inoltre, viene spesso impiegata la tecnica ConsentFix (o device code phishing), che induce gli utenti a concedere autorizzazioni OAuth ad applicazioni apparentemente lecite, ma in realtà controllate dagli attaccanti. Una volta ottenuto il consenso, gli attaccanti possono ottenere accesso ai sistemi aziendali a file, email e servizi cloud in modo persistente senza che l’utente si accorga di nulla o tentare operazioni più distruttive, soprattutto nel caso in cui siano stati compromessi account amministrativi.

Come proteggersi dal CalPhishing

Per difendersi dal CalPhishing, è necessario che le organizzazioni aggiornino le proprie strategie di difesa:

• Disabilitare l’aggiunta automatica: Configurare i sistemi in modo che gli inviti provenienti da mittenti esterni non vengano inseriti automaticamente nel calendario senza una conferma esplicita.
• Controlli MIME type: Rafforzare i filtri di sicurezza per analizzare con maggiore attenzione i messaggi di tipo text/calendar.
• Security Awareness: Formare i dipendenti affinché imparino a diffidare di meeting inattesi o richieste di autorizzazione OAuth anomale, anche se appaiono all’interno del proprio calendario.

L’evoluzione del CalPhishing dimostra che la sicurezza informatica non può più limitarsi alla sola posta elettronica, ma deve abbracciare ogni strumento collaborativo utilizzato nel flusso di lavoro quotidiano.