La diffusione del remote working, a causa dei lockdown ma non solo, ha tra le altre cose spinto una maggiore adozione di piattaforme che facilitino la gestione e la circolazione delle informazioni. Tra queste hanno un ruolo importante le piattaforme per la gestione documentale in cloud, che molte aziende hanno adottato anche in risposta all'emergenza. E per questo le piattaforme stesse possono essere ancora poco familiari per gli utenti. Le condizioni ideali, purtroppo, per qualche attacco mirato.

Lo CSIRT segnala infatti che circolano in rete alcune campagne di phishing legate proprio agli ambienti di gestione documentale. Le email di phishing mirano a portare il malcapitato destinatario su una pagina che simula la pagina di login di una piattaforma cloud. La pagina-civetta presenta un layout minimale ma comunque include loghi e riferimenti all'organizzazione della vittima, per essere più convincente.

Dopo aver inserito le credenziali di accesso e cliccato su Login, viene mostrato all’utente un popup contenente un messaggio di errore generico, per giustificare il fatto che da quella pagina non si accede affatto alla piattaforma "simulata". Nel frattempo i dati così carpiti vengono trasferiti ai server degli attaccanti. Come in moltissime altre azioni di attacco, i dati sottratti possono essere venduti o usati direttamente, magari tra diversi mesi, per violare la rete delle aziende interessate.

Ci sono poche strade per difendersi da questi attacchi. Si tratta di un tentativo di furto di account via phishing, quindi la strada più efficace è sempre evitare di inserire credenziali e informazioni personali all’interno di pagine a cui si accede seguendo link ricevuti sulla propria casella di posta o attraverso altri mezzi di comunicazione alternativi. L'aspetto "convincente" delle pagine a cui si è guidati non è un elemento sufficiente per essere sicuri.