La suplantación de URL permite ataques de ingeniería social dirigidos. Varonis advierte contra las URL mnemónicas falsas en Zoom y Google. Varonis Threat Labs ha descubierto vulnerabilidades en Zoom, Box y Google Docs que permiten a los ciberdelincuentes falsificar fácilmente las URL de invitación.
Como resultado, los enlaces de phishing parecen confiables incluso para los empleados capacitados, lo que aumenta significativamente la probabilidad de un ataque exitoso: si hacen clic en el enlace de su supuesto empleador, cliente o socio, serán redirigidos a una página de phishing que parece auténtica y donde se pueden encontrar para revelar datos confidenciales como contraseñas e información personal.
Dependiendo de la técnica de ingeniería social, esta información le parece bastante plausible al usuario. Por ejemplo, podría ser invitado a un webinar interno actual debido a un supuesto ciberataque, ante el cual primero habría que cambiar la contraseña. Si bien Box ha cerrado esta vulnerabilidad, tales manipulaciones aún son posibles con Zoom y Google.
¿Qué son las URL mnemónicas?
Muchas aplicaciones SaaS ofrecen URL mnemónicas, que son direcciones web personalizables para páginas web, formularios y enlaces para compartir archivos. Las URL mnemónicas se pueden usar para crear un enlace personalizado como varonis.example.com/s/1234 en lugar de app.example.com/s/1234. Sin embargo, Varonis Threat Labs descubrió que algunas aplicaciones no validan la legitimidad del subdominio URL mnemónico (por ejemplo, suempresa.ejemplo.com), solo el URI (como /s/1234).
Como resultado, los atacantes pueden usar sus propias cuentas SaaS para generar enlaces a contenido malicioso, como archivos, carpetas, páginas de destino o formularios que parecen estar alojados en la cuenta SaaS de su propia empresa. Para lograr esto, solo se debe cambiar el subdominio en el enlace. En consecuencia, estas URL falsas se pueden usar para campañas de phishing, ataques de ingeniería social, ataques de reputación y distribución de malware.
URL mnemónicas con Zoom
Zoom permite a las empresas usar una URL mnemónica como yourcompany.zoom.us para alojar páginas de registro de seminarios web, páginas de inicio de sesión de empleados, reuniones, grabaciones y más. Se pueden cargar logotipos y se puede ajustar la combinación de colores. Esto permite a los atacantes reemplazar sus propias URL con un dominio aparentemente legítimo y hacer que las páginas de destino parezcan reales.
No obstante, por norma general (aunque no siempre), la redirección dará lugar a un aviso emergente informando al usuario de que está a punto de acceder a contenido externo que no pertenece a su propio dominio. Sin embargo, estos consejos a menudo son ignorados, especialmente por los empleados menos capacitados, por lo que esta forma definitivamente puede ser una técnica de ataque efectiva.
Zoom: la URL de registro se puede cambiar
Para algunos seminarios web de Zoom, los expertos de Varonis pudieron cambiar la URL de registro para incluir el subdominio de cualquier empresa sin activar una alerta. De esta manera, los formularios de registro de seminarios web maliciosos pueden usarse para interceptar información personal o contraseñas de empleados o clientes.
Por lo tanto, Varonis Threat Labs insta a tener precaución con los enlaces de Zoom, particularmente aquellos que contienen ".zoom.us/rec/play/", y a no ingresar información personal confidencial en los formularios de registro de reuniones, incluso si el formulario está en un subdominio oficial que parece ser alojado con el logotipo y la marca correctos. Zoom está trabajando actualmente en una solución a estos problemas.
Trampa: Google Docs y Google Forms
Las aplicaciones web que no tienen una función de URL mnemónica dedicada también pueden explotarse de manera similar. Por ejemplo, los formularios de Google en los que se solicitan datos confidenciales se pueden proporcionar con el logotipo de la empresa respectiva y se pueden distribuir a clientes o empleados como yourcompany.docs.google.com/forms/d/e/:form_id/viewform para proporcionar un legítimo a aparecer. Del mismo modo, se puede falsificar cualquier documento de Google compartido a través de la opción Publicar en la Web. Google está trabajando actualmente para solucionar este problema.
Más en Varonis.com
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,