A falsificação de URL permite ataques direcionados de engenharia social. Varonis adverte contra URLs falsas no Zoom e no Google. O Varonis Threat Labs descobriu vulnerabilidades no Zoom, Box e Google Docs que permitem que os cibercriminosos falsifiquem facilmente URLs de convite.
Como resultado, os links de phishing parecem confiáveis mesmo para funcionários treinados, o que aumenta significativamente a probabilidade de um ataque bem-sucedido: se eles clicarem no link de seu suposto empregador, cliente ou parceiro, serão direcionados para uma página de phishing que parece autêntica e onde eles podem ser encontrados para revelar dados confidenciais, como senhas e informações pessoais.
Dependendo da técnica de engenharia social, essas informações parecem bastante plausíveis para o usuário. Por exemplo, você pode ser convidado para um webinar interno atual devido a um suposto ataque cibernético, antes do qual a senha teria que ser alterada primeiro. Embora a Box tenha fechado essa vulnerabilidade, essas manipulações ainda são possíveis com o Zoom e o Google.
O que são URLs vaidosos?
Muitos aplicativos SaaS oferecem URLs personalizados, que são endereços da Web personalizáveis para páginas da Web, formulários e links de compartilhamento de arquivos. URLs personalizadas podem ser usadas para criar um link personalizado, como varonis.example.com/s/1234 em vez de app.example.com/s/1234. No entanto, o Varonis Threat Labs descobriu que alguns aplicativos não validam a legitimidade do subdomínio do URL personalizado (por exemplo, suaempresa.exemplo.com), apenas o URI (como /s/1234).
Como resultado, os invasores podem usar suas próprias contas SaaS para gerar links para conteúdo malicioso, como arquivos, pastas, páginas de entrada ou formulários que parecem ser hospedados pela conta SaaS de sua própria empresa. Para conseguir isso, apenas o subdomínio no link deve ser alterado. Assim, esses URLs falsos podem ser usados para campanhas de phishing, ataques de engenharia social, ataques de reputação e distribuição de malware.
URLs personalizados com zoom
O Zoom permite que as empresas usem um URL personalizado como suaempresa.zoom.us para hospedar páginas de registro de webinar, páginas de login de funcionários, reuniões, gravações e muito mais. Os logotipos podem ser carregados e o esquema de cores pode ser ajustado. Isso permite que os invasores substituam seus próprios URLs por um domínio aparentemente legítimo e façam com que as páginas de destino pareçam reais.
No entanto, como regra geral (embora nem sempre), o redirecionamento resultará em um aviso pop-up informando ao usuário que ele está prestes a acessar um conteúdo externo que não pertence ao seu próprio domínio. No entanto, essas dicas são muitas vezes ignoradas, principalmente por funcionários menos treinados, de modo que essa forma pode ser definitivamente uma técnica de ataque eficaz.
Zoom: URL de registro pode ser alterado
Para alguns webinars do Zoom, os especialistas da Varonis conseguiram alterar o URL de registro para incluir o subdomínio de qualquer empresa sem acionar um alerta. Dessa forma, formulários de registro de webinar maliciosos podem ser usados para interceptar informações pessoais ou senhas de funcionários ou clientes.
Portanto, o Varonis Threat Labs recomenda cautela com os links do Zoom, especialmente aqueles que contêm ".zoom.us/rec/play/," e não inserir informações pessoais confidenciais nos formulários de registro de reuniões, mesmo que o formulário esteja em um subdomínio oficial que pareça ser hospedado com o logotipo e a marca corretos. O Zoom está atualmente trabalhando em uma solução para esses problemas.
Armadilha: Google Docs e Google Forms
Os aplicativos da Web que não possuem um recurso de URL personalizado dedicado também podem ser explorados de maneira semelhante. Por exemplo, os formulários do Google nos quais são solicitados dados confidenciais podem ser fornecidos com o logotipo da respectiva empresa e distribuídos aos clientes ou funcionários como yourcompany.docs.google.com/forms/d/e/:form_id/viewform para fornecer um legítimo aparecer. Da mesma forma, qualquer Google Doc compartilhado por meio da opção Publicar na Web pode ser falsificado. O Google está trabalhando para corrigir esse problema.
Mais em Varonis.com
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,