Lo spoofing degli URL consente attacchi mirati di social engineering. Varonis mette in guardia contro i falsi vanity URL su Zoom e Google. Varonis Threat Labs ha scoperto vulnerabilità in Zoom, Box e Google Docs che consentono ai criminali informatici di falsificare facilmente gli URL di invito.
Di conseguenza, i collegamenti di phishing sembrano affidabili anche per i dipendenti addestrati, il che aumenta notevolmente la probabilità di un attacco riuscito: se fanno clic sul collegamento del loro presunto datore di lavoro, cliente o partner, verranno indirizzati a una pagina di phishing che sembra autentica e dove possono essere trovati per rivelare dati sensibili come password e informazioni personali.
A seconda della tecnica di ingegneria sociale, queste informazioni appaiono all'utente come abbastanza plausibili. Ad esempio, potresti essere invitato a un webinar interno in corso a causa di un presunto attacco informatico, prima del quale la password dovrebbe prima essere cambiata. Mentre Box ha chiuso questa vulnerabilità, tali manipolazioni sono ancora possibili con Zoom e Google.
Cosa sono i vanity URL?
Molte applicazioni SaaS offrono vanity URL, ovvero indirizzi Web personalizzabili per pagine Web, moduli e collegamenti di condivisione di file. I vanity URL possono essere utilizzati per creare un collegamento personalizzato come varonis.example.com/s/1234 anziché app.example.com/s/1234. Tuttavia, Varonis Threat Labs ha scoperto che alcune applicazioni non convalidano la legittimità del sottodominio del vanity URL (ad esempio yourcompany.example.com), ma solo l'URI (come /s/1234).
Di conseguenza, gli aggressori possono utilizzare i propri account SaaS per generare collegamenti a contenuti dannosi come file, cartelle, pagine di destinazione o moduli che sembrano essere ospitati dall'account SaaS della propria azienda. Per ottenere ciò, è necessario modificare solo il sottodominio nel collegamento. Di conseguenza, questi falsi URL possono essere utilizzati per campagne di phishing, attacchi di social engineering, attacchi alla reputazione e distribuzione di malware.
Vanity URL con Zoom
Zoom consente alle aziende di utilizzare un vanity URL come yourcompany.zoom.us per ospitare pagine di registrazione di webinar, pagine di accesso dei dipendenti, riunioni, registrazioni e altro. I loghi possono essere caricati e la combinazione di colori può essere regolata. Ciò consente agli aggressori di sostituire i propri URL con un dominio apparentemente legittimo e far sembrare reali le pagine di destinazione.
Tuttavia, come regola generale (anche se non sempre), il reindirizzamento si tradurrà in un avviso pop-up che informa l'utente che sta per accedere a contenuti esterni che non appartengono al proprio dominio. Tuttavia, questi suggerimenti vengono spesso ignorati, soprattutto dai dipendenti meno addestrati, quindi in questo modo può sicuramente essere una tecnica di attacco efficace.
Zoom: l'URL di registrazione può essere modificato
Per alcuni webinar Zoom, gli esperti Varonis sono stati in grado di modificare l'URL di registrazione per includere il sottodominio di qualsiasi azienda senza attivare un avviso. In questo modo, i moduli di registrazione ai webinar dannosi possono essere utilizzati per intercettare le informazioni personali o le password di dipendenti o clienti.
Pertanto, Varonis Threat Labs invita alla cautela con i collegamenti Zoom, in particolare quelli contenenti ".zoom.us/rec/play/", e a non inserire informazioni personali sensibili nei moduli di registrazione delle riunioni, anche se il modulo si trova su un sottodominio ufficiale sembra essere ospitato con il logo e il marchio corretti. Zoom sta attualmente lavorando a una soluzione a questi problemi.
Trappola: Google Docs e Google Forms
Anche le applicazioni Web che non dispongono di una funzione Vanity URL dedicata possono essere sfruttate in modo simile. Ad esempio, i moduli di Google in cui vengono richiesti dati riservati possono essere forniti con il logo della rispettiva azienda e distribuiti a clienti o dipendenti come yourcompany.docs.google.com/forms/d/e/:form_id/viewform per fornire un legittimo apparire. Allo stesso modo, qualsiasi documento Google condiviso tramite l'opzione Pubblica sul Web può essere sottoposto a spoofing. Google sta attualmente lavorando per risolvere questo problema.
Altro su Varonis.com
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,