La trappola della call urgente: come i finti aggiornamenti di Zoom e Teams bypassano gli antivirus
Siamo così abituati a saltare da una riunione all’altra che il gesto di cliccare su un link di invito è diventato automatico. Ed è proprio su questo automatismo, misto all’ansia di arrivare in ritardo, che punta l’ultima frontiera del cybercrimine. Una recente analisi dei ricercatori di Netskope ha acceso i riflettori su una tecnica di attacco che non usa virus tradizionali, ma la nostra stessa fretta.
L’inganno inizia dal link (Typosquatting)
Tutto parte da un’e-mail o un messaggio che sembra legittimo. Il link rimanda a una pagina che esteticamente è identica a quella di Google Meet, Zoom o Microsoft Teams.
I criminali utilizzano il cosiddetto typosquatting: registrano domini quasi identici agli originali (come zoom-meet.us invece di zoom.us). Una volta atterrati sulla pagina, la simulazione è perfetta: vedi persino i nomi dei tuoi colleghi già “connessi”, pronti a iniziare la riunione.
L’arma segreta: l’ingegneria sociale
Il cuore dell’attacco scatta quando provi a entrare nella stanza virtuale. Appare un pop-up: “Versione non compatibile. Scarica l’aggiornamento per partecipare”.
Qui entra in gioco l’ingegneria sociale:
- Urgenza: La riunione sta per iniziare, non hai tempo di controllare la fonte.
- Familiarità: Siamo abituati agli aggiornamenti continui di queste piattaforme.
- Pressione: Non vuoi essere l’unico a bloccare il lavoro del team.
Perché l’antivirus non ti protegge?
La vera genialità (maligna) di questo attacco è che non scarica un malware. Se lo facesse, i moderni antivirus lo bloccherebbero immediatamente.
Il file che installi è in realtà un software legittimo di RMM (Remote Monitoring and Management), come LogMeIn o ScreenConnect. Si tratta di strumenti che i tecnici informatici usano regolarmente per l’assistenza remota.
Siccome il programma è “pulito” e legale, l’antivirus lo lascia passare. Una volta installato, però, i pirati informatici ottengono le chiavi di casa: possono vedere il tuo schermo, copiare file e controllare il tuo PC come se fossero seduti alla tua scrivania.
Come non cadere nel tranello
Per difendersi da attacchi così sofisticati, la tecnologia da sola non basta. Serve un po’ di sano scetticismo:
- Controlla l’URL: Prima di cliccare o scaricare, guarda bene la barra degli indirizzi. Un trattino di troppo o un’estensione strana (.us, .top, .info) sono segnali d’allarme.
- Aggiorna solo dalle app ufficiali: Se una pagina web ti chiede di scaricare un eseguibile, chiudi tutto. Apri la tua app di Zoom o Teams direttamente dal computer e verifica gli aggiornamenti da lì.
- Verifica i certificati: Se proprio devi installare qualcosa, controlla la firma digitale. Se il software dice di essere Zoom ma il certificato appartiene a un’entità sconosciuta, interrompi l’installazione.
In breve: I cybercriminali non stanno più cercando di scassinare la porta, stanno cercando di convincerti ad aprirla tu stesso, offrendoti un finto aiuto per una riunione che non esiste.