Джек М. Жермен
27 августа 2020 г., 9:33 утра по тихоокеанскому времени
Пользователи Zoom и другие Инструменты видеоконференцсвязи должны быть осведомлены о растущем риске атак, связанных с подражанием. Даже использование других видеоплатформ для поддержания связи с друзьями на социальном уровне в настоящее время представляет более высокий риск для безопасности.
В отчете, опубликованном в этом месяце Эли Сандерс, главным специалистом по обработке данных в INKY, была сделана попытка привлечь внимание к этой растущей уязвимости. INKY — это облачная платформа безопасности электронной почты, которая использует искусственный интеллект для обнаружения признаков мошенничества, а также спама и вредоносных программ.
Исследователи INKY определили атаки, исходящие из Австралии, Германии, США и других стран. Киберпреступники извлекают выгоду из экспоненциального роста числа пользователей, обращающихся к Zoom и Teams для совместной работы в рабочих и дружеских сетях.
Содержание статьи
Безумие фишинга
В этом году у Zoom наблюдается беспрецедентный рост числа новых пользователей, в первую очередь из-за блокирования пандемии COVID-19. Этот гигант веб-видеоконференцсвязи подскочил с 10 миллионов участников ежедневных встреч в декабре прошлого года до 300 миллионов в апреле.
Столь стремительный рост числа пользователей вызвал «настоящее безумие фишинга», когда киберпреступники по всему миру пытаются использовать возможности для мошенничества и мошенничества. В их число входит взрыв фальшивых приглашений на собрания, которые выдают себя за Zoom и Teams во время фишинговых атак, пытающихся украсть конфиденциальные данные пользователей.
«Некоторые пользователи могут не знать о мерах предосторожности или [be] не знать, как работает Zoom. Целью этой фишинговой кампании является кража учетных данных Microsoft, но на самом деле вам не нужно входить в учетную запись Microsoft, чтобы посетить Конференция Zoom », — сказал Сандерс TechNewsWorld.
Также широко распространена связанная с этим проблема, называемая «бомбардировка зумом». Он добавил, что тролли и хакеры срывают открытые конференции, не защищенные паролем, загружая оскорбительный графический контент, вредоносные ссылки и вредоносное ПО.
Другие платформы тоже опасны. Злоумышленники также рассылают похожие фишинговые электронные письма, выдающие себя за Microsoft Teams, Skype, RingCentral и Cisco Webex.
К чему суета?
Когда чьи-то учетные данные украдены, воры продают информацию в Dark Web нескольким злоумышленникам. У фишера также есть немедленный доступ к учетной записи Microsoft жертвы, поэтому они могут просматривать все электронные письма, получать доступ к конфиденциальным загрузкам на OneDrive или отправлять фишинговые электронные письма с этой взломанной учетной записи, объяснил Сандерс.
INKY заявила, что ее технология предотвратила примерно 5000 таких фишинговых атак. Компания указала на происхождение и механизм атаки 13 уникальных фишинговых шаблонов, каждый из которых предназначен для того, чтобы побудить пользователей Zoom отказаться от конфиденциальных учетных данных, которые позволяют киберпреступникам ежегодно красть миллиарды долларов.
В 2019 году средний убыток на одну компанию составил почти 75 000 долларов США на один инцидент. Такие фишинговые атаки могут обречь малый и средний бизнес на гибель. Неудивительно, что выражение «Zoom & Doom» является частью заголовка отчета INKY.
Статус Zoom как новичка и стремление приспособиться к работе из дома сделали видеоплатформу одной из основных целей атак. У Zoom появилось много новых пользователей, поскольку студенты и сотрудники теперь полагаются на него, чтобы заменить личные встречи, согласился Сандерс.
Всегда будьте начеку
Знать, что количество фишинговых мошенников растет — большое время — это одно. Другое дело — не стать их жертвой.
Распространенными фишинговыми приманками являются поддельные уведомления, доставляемые в голосовой почте, уведомления о новых документах и обновлениях учетной записи. По словам Сандерса, целью злоумышленников обычно является сбор учетных данных или установка вредоносного ПО с вложением электронной почты.
Основным шагом, который организации могут предложить своим сотрудникам, является обучение пользователей, чтобы помочь тем, кто обычно взаимодействует с этими фишинговыми атаками, научиться с подозрением относиться к своей электронной почте.
Одна тактика состоит в том, чтобы пользователь вручную проверял наличие подсказок, которые могут быть довольно очевидными. Например, ищите неизвестных отправителей, наведите указатель мыши на ссылку (не нажимая), чтобы увидеть встроенный за ней URL, и с подозрением относитесь к прикрепленным файлам, предложил Сандерс.
Многие компании также ранее инвестировали в защитные шлюзы электронной почты (SEG), чтобы пытаться обнаруживать эти вредоносные электронные письма. Но плохие актеры изобретательны и постоянно обманывают пользователя и эти устаревшие системы.
Эти платформы могут быть легко доступны как для рабочих компьютеров, так и для мобильных устройств. По словам Хэнка Шлесса, старшего менеджера по решениям безопасности в Lookout, на телефонах и планшетах меньшие экраны скрывают множество тревожных сигналов.
«Устройства также будут сокращать имя файла или URL-адреса, передаваемого злоумышленником. Это затрудняет обнаружение подозрительного документа или названия веб-сайта», — сказал он TechNewsWorld.
Если пользователь нажимает на вредоносную ссылку и переходит на фишинговую страницу, может быть почти невозможно обнаружить различия между настоящей и поддельной страницей. «Если сотрудники не знакомы с интерфейсом платформы, маловероятно, что они смогут обнаружить какие-либо раздачи фишинг-страницы или даже задать вопрос, почему их вообще просят войти в систему», — пояснил Шлесс.
Скрытые опасности
Еще до COVID-19 и глобальной удаленной работы злоумышленники обычно использовали поддельные ссылки Google G-Suite и Microsoft Office 365, чтобы попытаться обмануть сотрудников компании. Количество людей, использующих Zoom и Teams, резко увеличилось, поскольку все вынуждены работать из дома.
Злоумышленники знают, что новые пользователи не знакомы с приложениями. По словам Шлесса, киберпреступники используют как вредоносные URL-адреса, так и фальшивые вложения в сообщения, чтобы привлечь внимание к фишинговым страницам.
Согласно данным Lookout, уровень мобильного фишинга среди пользователей Office 365 и G-Suite на 200 процентов выше, чем у тех, у кого их нет. Сотрудники с гораздо большей вероятностью обратятся к ссылке или документу, если они будут выглядеть как часть экосистемы приложения, которое вы уже используете.
«Когда ваши сотрудники находятся вне офиса и в дороге, высока вероятность, что они будут просматривать документы на мобильных устройствах», — добавил он.
Подобные проблемы, вероятно, навсегда останутся проблемой для всех типов платформ. По словам Брайана Беккера, менеджера по продукту WhiteHat Security, это всего лишь версия фишинга или целевого фишинга (рассылка целевых фальшивых писем) 2020 года.
«Даже на платформах видеоигр есть проблема с преступниками, использующими эти методы для кражи виртуальных валют», — сказал он TechNewsWorld.
Достаточно взглянуть на одну из последних крупных фишинговых кампаний, проведенных против пользователей Twitter, — заметил Беккер.
«Недавние события в Твиттере — прекрасный пример потенциальных опасностей, которые скрываются за атаками», — сказал он.
Он имел в виду объявление от 30 июля в Твиттере о беспрецедентной фишинговой атаке по телефону 15 июля, направленной на 130 человек, включая генеральных директоров, знаменитостей и политиков. Злоумышленники взяли под контроль 45 из этих учетных записей и использовали их для рассылки твитов, пропагандирующих простое мошенничество с биткойнами.
Раскрытие Русов
В отчете INKY указывалось на несколько приемов, которые злоумышленники использовали в кампаниях Zoom и Teams. Сандерс выделил несколько из этих приемов:
- Вредоносные ссылки на поддельные страницы входа в O365 или Outlook, где простая копия / вставка реального HTML / исходного кода от Microsoft делает его очень убедительным для пользователя;
- HTML-вложения, которые создают поддельную страницу входа в систему как локальный хост на компьютере пользователя. Включение вложения не позволяет SEG найти ссылку в отраслевом черном списке / средствах проверки репутации. Кроме того, вложения закодированы, поэтому они не могут быть прочитаны людьми или обычным SEG;
- Злоумышленник персонализирует фишинговое электронное письмо с информацией из электронного адреса пользователя. Злоумышленники добавляют имя пользователя или компании как часть отображаемого имени отправителя, содержимого электронной почты, вредоносной ссылки (создается динамически), масштабного названия встречи;
- Поддельные логотипы, которые на самом деле являются просто текстом и уловками CSS, чтобы они выглядели как логотип для получения SEG.
Сандерс подробно описал другие уловки, которые злоумышленники использовали для проведения фишинговых атак. Например, они использовали взломанные учетные записи, чтобы пройти любые проверки SPF или DKIM, или создали новые домены с реалистично звучащими именами, чтобы обмануть пользователей, например Zoom Communications.com или Zoom VideoConfrence.com.
Вы заметили орфографическую ошибку? Орфографические и грамматические ошибки — типичные ключи к атаке. Но многие пользователи просто не замечают таких вещей.
Хотя некоторые взломанные учетные записи хорошо известны и их можно найти в отраслевых черных списках, новые учетные записи пытаются реализовать атаку нулевого дня, чтобы обойти SEG, — пояснил Сандерс. В конце концов, их обнаруживают и блокируют. Но пока они могут пройти через SEG. 
