LOGIN
In Breve (TL;DR)
- I ricercatori Netskope descrivono una nuova truffa che usa falsi inviti a videoconferenze e pagine clonate con typosquatting per ingannare gli utenti.
- La vittima viene spinta a installare un “aggiornamento” che in realtà è un software di controllo remoto, permettendo ai criminali di accedere al PC e avviare ulteriori attacchi.
Le videoconferenze sono diventate uno strumento quotidiano per il lavoro: una stima basata su statistiche online indica che servizi come Google Meet, Teams e Zoom vengono usati ogni giorno da oltre 500 milioni di persone. Proprio questa abitudine, però, è diventata un bersaglio interessante per i cybercriminali.
I ricercatori di Netskope hanno descritto una tecnica di attacco che sfrutta inviti a riunioni apparentemente normali e una ricostruzione molto credibile delle pagine delle piattaforme. L’obiettivo non è solo rubare credenziali, ma portare l’utente a installare un software che consente l’accesso remoto al PC, aprendo la strada a ulteriori azioni malevole.
Come inizia l’attacco su Zoom e Meet
L’attacco inizia con un invito a partecipare a una call. Il link porta a una pagina che replica perfettamente l’interfaccia di Zoom o Meet usando tecniche di typosquatting, ovvero vengono registrati dei domini-civetta, molto simili a quelli originali, ma con piccole differenze.
Per esempio, al posto di Zoom il sito riporta il dominio “zooom” oppure, come nell’esempio citato, il dominio falso è “zoom-meet.us”. Anche l’interfaccia grafica e i font usati nella finta piattaforma sono identici a quelli originali.
Per rendere la scena più realistica, la pagina mostra anche l’accesso di altri partecipanti e può includere nomi che sembrano appartenere alla stessa azienda della vittima. Per chi riceve inviti ogni giorno, il contesto non appare necessariamente sospetto, soprattutto se l’atto di avviare le riunioni è quasi automatico e tutto sembra andare alla normalità.
Quando scatta la truffa sulla finta riunione
La trappola scatta quando l’utente prova ad avviare la riunione: compare un messaggio che segnala un problema di compatibilità e invita ad aggiornare il software. È un passaggio studiato per sembrare plausibile, perché aggiornamenti e patch sulle piattaforme di videoconferenza sono frequenti.
Qui entra in gioco l’ingegneria sociale: l’attacco fa leva sulla pressione del momento, come la paura di arrivare tardi a una call importante. Netskope sottolinea che anche la procedura di aggiornamento è curata nei dettagli, con istruzioni passo per passo e un file che sembra coerente con quello ufficiale.
Perché è difficile da bloccare l'attacco
L’aspetto più insidioso, secondo Netskope, è che il file scaricato non contiene un malware classico, che un antivirus intercetterebbe facilmente. Invece, viene installato un programma commerciale di controllo remoto usato anche in ambito aziendale, appartenente alla categoria RMM (Remote Monitoring and Management).
Nel report vengono citati strumenti come LogMeIn Unattended, Datto e ScreenConnect. Una volta presenti sul computer, permettono funzioni come condivisione schermo, trasferimento file ed esecuzione di comandi da remoto. In pratica, l’attaccante ottiene accesso “dalla porta principale”, con un software che può sembrare normale.
Un indizio possibile durante l’installazione è il certificato digitale: può risultare autentico, ma la firma non corrisponde a quella del produttore della piattaforma di videoconferenza, ma che non tutti conoscono o comunque facilmente ignorabile. Se i cybercriminali riescono nel loro intento all’interno del computer della vittima viene installato quindi un software che permette loro di accedere alla posta elettronica, al web e quindi rubare dati sensibili ed effettuare furti di identità.
Per evitare queste problematiche è consigliabile controllare sempre molto bene i dettagli di un invito alle riunioni ed evitare di scaricare aggiornamenti che sembrano poco sicuri.
Per saperne di più: Sicurezza informatica, guida alla navigazione sicura sul web
Domande frequenti (FAQ)
-
Come inizia la truffa che attacca su Zoom e Meet?L'attacco inizia con un invito a partecipare a una call che porta a una pagina che replica perfettamente l'interfaccia di Zoom o Meet utilizzando tecniche di typosquatting.
-
Che cos’è il typosquatting negli inviti alle videoconferenze?È una tecnica che usa indirizzi web molto simili a quelli ufficiali (con piccole variazioni) per far credere che il link sia legittimo.
-
Perché è difficile da bloccare l'attacco?È difficile bloccare l'attacco perché il file scaricato non contiene un malware classico facilmente intercettabile da un antivirus, ma installa un programma commerciale di controllo remoto che può sembrare normale.
