Molti utenti di Cisco WebEx sono l’obiettivo di una campagna massiva di phishing che fa uso di una falsa comunicazione riguardante un “aggiornamento critico” per tentare di sottrarre le credenziali di accesso alla piattaforma.
La riorganizzazione del lavoro da remoto derivante dall’attuale contesto delle misure di contenimento da COVID-19 ha portato ad un impiego ampiamente diffuso delle piattaforme per le videoconferenze online e lo scambio di file, e dunque i cybercriminali tentano di ottenere fraudolentemente le credenziali degli utenti per avere così facile accesso a dati e informazioni all’insaputa dei partecipanti alle riunioni. Coerentemente, dal momento che l’utilizzo di WebEx ha registrato una crescita fra le aziende e le organizzazioni, l’attacco a tale strumento di lavoro tramite una campagna di phishing risulta essere il frutto di un’accurata progettazione per massimizzarne l’efficacia nei confronti delle potenziali vittime e trarre in inganno anche utenti con competenze tecniche.
L’e-mail fraudolenta consiste in una comunicazione di allerta proveniente da un indirizzo mittente falsificato @webex.com (apparentemente legittimo) che avvisa l’utente dell’esigenza di provvedere ad un “Aggiornamento critico”. Il contenuto dell’e-mail riporta il layout del Cisco Security Advisory e il testo è una comunicazione relativa ad un’allerta riguardante Cisco WebEx su una vulnerabilità del 2016, accuratamente manipolata. Il lettore è tratto così in inganno tanto dall’aspetto familiare della comunicazione quanto dal linguaggio tecnico e la presenza di una segnalazione veritiera di un problema di software (si omette, però, che tale vulnerabilità era stata risolta a suo tempo). Elemento ulteriormente ingannevole è la presenza nel corpo del messaggio del link relativo agli approfondimenti tecnici che riporta alla vera pagina del servizio Cisco Security Advisory riguardante proprio la vulnerabilità indicata, consentendo così di poter indurre a ritenere la comunicazione legittima anche un utente con competenze digitali avanzate.
La trappola malevola scatta però nell’ultimo capo della comunicazione in cui si viene invitati ad effettuare l’aggiornamento critico attraverso un pulsante che porta ad una landing page del tutto identica all’accesso di WebEx, con un indirizzo molto simile e su cui è installato anche un certificato SSL funzionante. Attraverso il modulo è così possibile accedere mediante le proprie credenziali alla piattaforma e ricevere informazioni sull’aggiornamento critico, inconsapevoli che si sta invece consegnando al cybercriminale la propria utenza.
Dal momento che il livello di verosimiglianza della comunicazione e della pagina di accesso sono piuttosto elevati, e sono presenti elementi idonei a trarre in inganno anche un utente avanzato, si deve essere consapevoli che il settore delle applicazioni per il lavoro da remoto è particolarmente suscettibile a ricevere attacchi informatici e dunque è necessario aumentare le cautele. In ogni caso, è sempre meglio dubitare di comunicazioni che richiedono un’azione urgente da svolgere, procedendo alle dovute verifiche piuttosto che lasciare che dati e informazioni dei propri dispositivi siano facili preda di un cybercriminale.
