L'usurpation d'URL permet des attaques d'ingénierie sociale ciblées. Varonis met en garde contre les fausses URL personnalisées sur Zoom et Google. Varonis Threat Labs a découvert des vulnérabilités dans Zoom, Box et Google Docs qui permettent aux cybercriminels de falsifier facilement des URL d'invitation.
Par conséquent, les liens de phishing semblent dignes de confiance même pour les employés formés, ce qui augmente considérablement la probabilité d'une attaque réussie : s'ils cliquent sur le lien de leur supposé employeur, client ou partenaire, ils seront redirigés vers une page de phishing qui semble authentique et où ils peuvent être trouvés pour révéler des données sensibles telles que des mots de passe et des informations personnelles.
Selon la technique d'ingénierie sociale, ces informations apparaissent à l'utilisateur comme tout à fait plausibles. Par exemple, vous pourriez être invité à un webinaire interne en cours en raison d'une prétendue cyberattaque, avant laquelle le mot de passe devrait d'abord être changé. Bien que Box ait fermé cette vulnérabilité, de telles manipulations sont toujours possibles avec Zoom et Google.
Que sont les URL personnalisées ?
De nombreuses applications SaaS proposent des URL personnalisées, qui sont des adresses Web personnalisables pour les pages Web, les formulaires et les liens de partage de fichiers. Les URL personnalisées peuvent être utilisées pour créer un lien personnalisé tel que varonis.example.com/s/1234 au lieu de app.example.com/s/1234. Cependant, Varonis Threat Labs a découvert que certaines applications ne valident pas la légitimité du sous-domaine de l'URL personnalisée (par exemple, votreentreprise.exemple.com), uniquement l'URI (comme /s/1234).
Par conséquent, les attaquants peuvent utiliser leurs propres comptes SaaS pour générer des liens vers des contenus malveillants tels que des fichiers, des dossiers, des pages de destination ou des formulaires qui semblent être hébergés par le compte SaaS de leur propre entreprise. Pour ce faire, seul le sous-domaine du lien doit être modifié. En conséquence, ces fausses URL peuvent être utilisées pour des campagnes de phishing, des attaques d'ingénierie sociale, des attaques de réputation et la distribution de logiciels malveillants.
URL personnalisées avec zoom
Zoom permet aux entreprises d'utiliser une URL personnalisée telle que votreentreprise.zoom.us pour héberger des pages d'inscription à des webinaires, des pages de connexion des employés, des réunions, des enregistrements, etc. Les logos peuvent être téléchargés et le jeu de couleurs peut être ajusté. Cela permet aux attaquants de remplacer leurs propres URL par un domaine apparemment légitime et de donner aux pages de destination un aspect réel.
Cependant, en règle générale (mais pas toujours), la redirection entraînera un avertissement contextuel informant l'utilisateur qu'il est sur le point d'accéder à un contenu externe qui n'appartient pas à son propre domaine. Néanmoins, ces conseils sont souvent ignorés, en particulier par les employés moins formés, de sorte que cette méthode peut certainement être une technique d'attaque efficace.
Zoom : l'URL d'enregistrement peut être modifiée
Pour certains webinaires Zoom, les experts Varonis ont pu modifier l'URL d'enregistrement pour inclure le sous-domaine de n'importe quelle entreprise sans déclencher d'alerte. De cette manière, des formulaires d'inscription à des webinaires malveillants peuvent être utilisés pour intercepter les informations personnelles ou les mots de passe des employés ou des clients.
Par conséquent, Varonis Threat Labs invite à la prudence avec les liens Zoom, en particulier ceux contenant ".zoom.us/rec/play/", et à ne pas saisir d'informations personnelles sensibles dans les formulaires d'inscription aux réunions, même si le formulaire se trouve sur un sous-domaine officiel semble être hébergé avec le logo et la marque corrects. Zoom travaille actuellement sur une solution à ces problèmes.
Piège : Google Docs et Google Forms
Les applications Web qui ne disposent pas d'une fonction d'URL personnalisée dédiée peuvent également être exploitées de la même manière. Par exemple, les formulaires Google dans lesquels des données confidentielles sont demandées peuvent être munis du logo de l'entreprise concernée et distribués aux clients ou aux employés sous le nom yourcompany.docs.google.com/forms/d/e/:form_id/viewform pour fournir un légitime apparaître. De même, tout document Google partagé via l'option Publier sur le Web peut être usurpé. Google travaille actuellement à résoudre ce problème.
Plus sur Varonis.com
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,