Cisco Webex: i certificati SSL scaduti sono phishing
Una nuova campagna di phishing sta bersagliando gli utenti di Cisco WebEx. È talmente credibile da ingannare i filtri email.
Le applicazioni di collaboration più popolari sono ormai un campo minato. Zoom, Teams e WebEx sono al centro di pressanti campagne di phishing volte al furto di credenziali degli utenti. L'applicazione Cisco in particolare è oggetto in queste ore di una nuova campagna.
Quelli recapitati via email sono falsi avvisi di certificati scaduti. A trarre in inganno sono la grafica e la formattazione molto simili a quelle usate dall'azienda legittima. Secondo la società di sicurezza Anormal Security, i messaggi di questo tipo hanno già raggiunto 5.000 caselle di posta di persone che utilizzano Cisco Webex per lavorare in remoto.
La tecnica ha tutti i connotati di una campagna di phishing. Il mittente impersona il Cisco WebEx Team. Il contenuto clona grafica e formattazione degli avvisi automatici. Secondo i ricercatori di sicurezza, la parte più insidiosa di questa campagna è proprio che clona quasi perfettamente le email e il sito di accesso di WebEx. Le mail potrebbero indurre in inganno alcune protezioni di Secure Email Gateways (SEG), che non inoltrerebbero il messaggio alla cartella di spam.
Il messaggio instilla un senso di urgenza in chi lo legge. In questo caso il messaggio punta sull'errore del certificato SSL di Webex Meetings. Errore che, secondo l'email, ha portato l'amministratore a bloccare l'account.
L'esortazione è quindi di verificare i propri account. Per la verifica è richiesto di selezionare il collegamento ipertestuale incorporato, in corrispondenza della voce "Accesso". Come segnalato più volte, in un'evenienza del genere bisogna evitare di cliccare i link all'interno della mail. Basta aprire dal proprio browser la pagina di login a WebEx e controllare da lì se qualcosa non funziona. Facendolo, in questo caso ci si accorgerebbe che è tutto a posto.
Chi invece clicca incautamente sul link attiverà un collegamento SendGrid che reindirizza a un sito di credenziali di phishing che è stato recentemente registrato nella Repubblica Ceca e che ha nulla che vedere con Webex o Cisco. Il guaio è che anche l'URL è credibile: https://app-login-webex[.]Com. Anche qui, l'imitazione della vera pagina di login di WebEx è fatta a regola d'arte. Probabilmente saranno molti a cadere in inganno.
Il problema è che le credenziali inserite non saranno comunicate a Cisco, ma direttamente sul server dei cyber criminali che hanno ideato la truffa. A questo punto potrebbero usate i dati per inviare ulteriori attacchi di phishing all'interno della stessa azienda. Oppure rivenderli sul dark web.
Quelli recapitati via email sono falsi avvisi di certificati scaduti. A trarre in inganno sono la grafica e la formattazione molto simili a quelle usate dall'azienda legittima. Secondo la società di sicurezza Anormal Security, i messaggi di questo tipo hanno già raggiunto 5.000 caselle di posta di persone che utilizzano Cisco Webex per lavorare in remoto.
La tecnica ha tutti i connotati di una campagna di phishing. Il mittente impersona il Cisco WebEx Team. Il contenuto clona grafica e formattazione degli avvisi automatici. Secondo i ricercatori di sicurezza, la parte più insidiosa di questa campagna è proprio che clona quasi perfettamente le email e il sito di accesso di WebEx. Le mail potrebbero indurre in inganno alcune protezioni di Secure Email Gateways (SEG), che non inoltrerebbero il messaggio alla cartella di spam.
Il messaggio instilla un senso di urgenza in chi lo legge. In questo caso il messaggio punta sull'errore del certificato SSL di Webex Meetings. Errore che, secondo l'email, ha portato l'amministratore a bloccare l'account.L'esortazione è quindi di verificare i propri account. Per la verifica è richiesto di selezionare il collegamento ipertestuale incorporato, in corrispondenza della voce "Accesso". Come segnalato più volte, in un'evenienza del genere bisogna evitare di cliccare i link all'interno della mail. Basta aprire dal proprio browser la pagina di login a WebEx e controllare da lì se qualcosa non funziona. Facendolo, in questo caso ci si accorgerebbe che è tutto a posto.
Chi invece clicca incautamente sul link attiverà un collegamento SendGrid che reindirizza a un sito di credenziali di phishing che è stato recentemente registrato nella Repubblica Ceca e che ha nulla che vedere con Webex o Cisco. Il guaio è che anche l'URL è credibile: https://app-login-webex[.]Com. Anche qui, l'imitazione della vera pagina di login di WebEx è fatta a regola d'arte. Probabilmente saranno molti a cadere in inganno.
Il problema è che le credenziali inserite non saranno comunicate a Cisco, ma direttamente sul server dei cyber criminali che hanno ideato la truffa. A questo punto potrebbero usate i dati per inviare ulteriori attacchi di phishing all'interno della stessa azienda. Oppure rivenderli sul dark web.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Webinar
Calendario Tutto
Ott 04
Roadshow “Corri con ESET - Milano
Ott 06
VEMlive 2023 | IMPACT - Catalizzatori digitali di efficienza, evoluzione e crescita
Ott 12
Microsoft Teams Voice: the right answer for everyone
Ott 12
Roadshow “Corri con ESET - Torino
Ott 17
IDC Future of Data Forum 2023
Ott 17
Roadshow “Corri con ESET - Roma
Ott 18
SMB Roadshow Exclusive On the Road - Torino
Ott 18
Dell Technologies Forum 2023
Ott 24
SMB Roadshow Exclusive On the Road - Padova
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
