Cisco Webex: i certificati SSL scaduti sono phishing
Redazione SecurityOpenLab Una nuova campagna di phishing sta bersagliando gli utenti di Cisco WebEx. È talmente credibile da ingannare i filtri email.
Le applicazioni di collaboration più popolari sono ormai un campo minato. Zoom, Teams e WebEx sono al centro di pressanti campagne di phishing volte al furto di credenziali degli utenti. L'applicazione Cisco in particolare è oggetto in queste ore di una nuova campagna.
Quelli recapitati via email sono falsi avvisi di certificati scaduti. A trarre in inganno sono la grafica e la formattazione molto simili a quelle usate dall'azienda legittima. Secondo la società di sicurezza Anormal Security, i messaggi di questo tipo hanno già raggiunto 5.000 caselle di posta di persone che utilizzano Cisco Webex per lavorare in remoto.
La tecnica ha tutti i connotati di una campagna di phishing. Il mittente impersona il Cisco WebEx Team. Il contenuto clona grafica e formattazione degli avvisi automatici. Secondo i ricercatori di sicurezza, la parte più insidiosa di questa campagna è proprio che clona quasi perfettamente le email e il sito di accesso di WebEx. Le mail potrebbero indurre in inganno alcune protezioni di Secure Email Gateways (SEG), che non inoltrerebbero il messaggio alla cartella di spam.
Il messaggio instilla un senso di urgenza in chi lo legge. In questo caso il messaggio punta sull'errore del certificato SSL di Webex Meetings. Errore che, secondo l'email, ha portato l'amministratore a bloccare l'account.
L'esortazione è quindi di verificare i propri account. Per la verifica è richiesto di selezionare il collegamento ipertestuale incorporato, in corrispondenza della voce "Accesso". Come segnalato più volte, in un'evenienza del genere bisogna evitare di cliccare i link all'interno della mail. Basta aprire dal proprio browser la pagina di login a WebEx e controllare da lì se qualcosa non funziona. Facendolo, in questo caso ci si accorgerebbe che è tutto a posto.
Chi invece clicca incautamente sul link attiverà un collegamento SendGrid che reindirizza a un sito di credenziali di phishing che è stato recentemente registrato nella Repubblica Ceca e che ha nulla che vedere con Webex o Cisco. Il guaio è che anche l'URL è credibile: https://app-login-webex[.]Com. Anche qui, l'imitazione della vera pagina di login di WebEx è fatta a regola d'arte. Probabilmente saranno molti a cadere in inganno.
Il problema è che le credenziali inserite non saranno comunicate a Cisco, ma direttamente sul server dei cyber criminali che hanno ideato la truffa. A questo punto potrebbero usate i dati per inviare ulteriori attacchi di phishing all'interno della stessa azienda. Oppure rivenderli sul dark web.
Quelli recapitati via email sono falsi avvisi di certificati scaduti. A trarre in inganno sono la grafica e la formattazione molto simili a quelle usate dall'azienda legittima. Secondo la società di sicurezza Anormal Security, i messaggi di questo tipo hanno già raggiunto 5.000 caselle di posta di persone che utilizzano Cisco Webex per lavorare in remoto.
La tecnica ha tutti i connotati di una campagna di phishing. Il mittente impersona il Cisco WebEx Team. Il contenuto clona grafica e formattazione degli avvisi automatici. Secondo i ricercatori di sicurezza, la parte più insidiosa di questa campagna è proprio che clona quasi perfettamente le email e il sito di accesso di WebEx. Le mail potrebbero indurre in inganno alcune protezioni di Secure Email Gateways (SEG), che non inoltrerebbero il messaggio alla cartella di spam.
Il messaggio instilla un senso di urgenza in chi lo legge. In questo caso il messaggio punta sull'errore del certificato SSL di Webex Meetings. Errore che, secondo l'email, ha portato l'amministratore a bloccare l'account.L'esortazione è quindi di verificare i propri account. Per la verifica è richiesto di selezionare il collegamento ipertestuale incorporato, in corrispondenza della voce "Accesso". Come segnalato più volte, in un'evenienza del genere bisogna evitare di cliccare i link all'interno della mail. Basta aprire dal proprio browser la pagina di login a WebEx e controllare da lì se qualcosa non funziona. Facendolo, in questo caso ci si accorgerebbe che è tutto a posto.
Chi invece clicca incautamente sul link attiverà un collegamento SendGrid che reindirizza a un sito di credenziali di phishing che è stato recentemente registrato nella Repubblica Ceca e che ha nulla che vedere con Webex o Cisco. Il guaio è che anche l'URL è credibile: https://app-login-webex[.]Com. Anche qui, l'imitazione della vera pagina di login di WebEx è fatta a regola d'arte. Probabilmente saranno molti a cadere in inganno.
Il problema è che le credenziali inserite non saranno comunicate a Cisco, ma direttamente sul server dei cyber criminali che hanno ideato la truffa. A questo punto potrebbero usate i dati per inviare ulteriori attacchi di phishing all'interno della stessa azienda. Oppure rivenderli sul dark web.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Giu 17
Microsoft 365 Business Premium e Veeam: alleati per il successo aziendale!
Giu 17
Cloud, velocità e semplicità: HeatWave cambia le regole del gioco per MySQL
Giu 17
IBM Activation day
Giu 17
Acronis Ultimate 365 - Protezione 7-in-1 per Microsoft 365
Giu 17
Webinar by AMD | Potenzia il tuo business con Ryzen PRO
Giu 17
Webinar Sicurezza - Identity e Access Management
Giu 17
Scopri come semplificare la cybersecurity con Sophos MSP Connect Flex | Iscriviti al nostro Live Webinar
Giu 17
Ready Informatica Webinar | Parallels - La soluzione sicura e performante per una virtualizzazione ottimizzata di app e desktop
Giu 18
AWS Summit 2025 - Milano
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
