Cisco Talos ha rilevato una nuova tipologia di attacchi che sta mettendo a rischio la sicurezza informatica delle imprese. Tali attacchi utilizzano i siti per la pubblicazione e la condivisione di documenti (DDP – Digital Document Publishing). I criminali informatici sfruttano cioè questo tipo di siti internet per rubare le credenziali e i token di accesso utilizzando documenti malevoli. Gli attacchi che utilizzano i siti DDP sono quindi particolarmente pericolosi non solo perché moltissimi utenti non ne sono ancora a conoscenza, ma anche perché i sistemi di sicurezza non sempre sono in grado di rilevarli.
La vittima riceve un messaggio con un oggetto “convincente” che include il nome dell’azienda per cui lavora e che contiene dei link che puntano a un documento ospitato su un sito DDP. Una volta aperto il file e dopo aver cliccato su uno dei link la vittima sarà traghettata, attraverso una serie di reindirizzamenti, su un sito controllato dall’avversario che imita una pagina di autenticazione progettata per rubare le credenziali di accesso. Inoltre questi attacchi utilizzano spesso caselle di posta aziendali già compromesse per prendere di mira un utente specifico e colpire anche i suoi contatti.
I siti DDP permettono un buon livello di personalizzazione, che aiuta a rendere l’attacco ancora più credibile: non solo è possibile personalizzare il documento, ma anche la pagina web che lo ospita. In questo modo i criminali possono replicare le pagine di accesso aziendali utilizzando lo stesso layout.
Un ulteriore vantaggio per i criminali informatici è la natura temporanea di queste pagine, particolarità che complica ulteriormente il processo di rilevamento e di risposta da parte dei team di cybersecurity: i criminali informatici possono impostare una scadenza dei contenuti pubblicati, garantendo in questo modo che vengano cancellati automaticamente e non siano più rintracciabili.