Спуфінг URL-адреси дозволяє здійснювати цільові атаки соціальної інженерії. Вароніс застерігає від підроблених URL-адрес у Zoom і Google. Varonis Threat Labs виявили вразливості в Zoom, Box і Google Docs, які дозволяють кіберзлочинцям легко підробляти URL-адреси запрошень.
У результаті фішингові посилання здаються надійними навіть для навчених співробітників, що значно підвищує ймовірність успішної атаки: якщо вони клацнуть посилання свого передбачуваного роботодавця, клієнта або партнера, їх буде спрямовано на фішингову сторінку, яка виглядає справжньою та де їх можна знайти, щоб розкрити конфіденційні дані, такі як паролі та особиста інформація.
Залежно від методу соціальної інженерії ця інформація здається користувачеві цілком правдоподібною. Наприклад, вас можуть запросити на поточний внутрішній вебінар через передбачувану кібератаку, перед якою спочатку потрібно буде змінити пароль. Хоча Box усунув цю вразливість, такі маніпуляції все ще можливі в Zoom і Google.
Що таке марні URL-адреси?
Багато додатків SaaS пропонують унікальні URL-адреси, які є настроюваними веб-адресами для веб-сторінок, форм і посилань для обміну файлами. Незначні URL-адреси можна використовувати для створення персоналізованого посилання, наприклад varonis.example.com/s/1234 замість app.example.com/s/1234. Однак Varonis Threat Labs виявила, що деякі програми не перевіряють легітимність піддомену приватної URL-адреси (наприклад, yourcompany.example.com), а лише URI (наприклад, /s/1234).
У результаті зловмисники можуть використовувати власні облікові записи SaaS для створення посилань на шкідливий вміст, наприклад файли, папки, цільові сторінки або форми, які, здається, розміщені в обліковому записі SaaS їхньої компанії. Для цього необхідно змінити лише субдомен у посиланні. Відповідно, ці підроблені URL-адреси можна використовувати для фішингових кампаній, атак соціальної інженерії, атак на репутацію та розповсюдження шкідливого програмного забезпечення.
Марнославні URL-адреси з Zoom
Zoom дозволяє компаніям використовувати таку URL-адресу, як yourcompany.zoom.us, для розміщення сторінок реєстрації вебінарів, сторінок входу співробітників, зустрічей, записів тощо. Можна завантажити логотипи та налаштувати колірну схему. Це дозволяє зловмисникам замінити власні URL-адреси на здавалося б законним доменом і зробити цільові сторінки справжніми.
Однак, як правило (хоча і не завжди), переспрямування призведе до спливаючого попередження, яке інформує користувача про те, що він збирається отримати доступ до зовнішнього вмісту, який не належить до його власного домену. Тим не менш, ці поради часто ігноруються, особливо менш підготовленими працівниками, тому цей спосіб безперечно може бути ефективним прийомом атаки.
Zoom: URL реєстрації можна змінити
Для деяких вебінарів Zoom експерти Varonis змогли змінити URL-адресу реєстрації, щоб включити субдомен будь-якої компанії, не викликаючи сповіщення. Таким чином, зловмисні реєстраційні форми вебінару можуть використовуватися для перехоплення особистої інформації або паролів співробітників або клієнтів.
Тому Varonis Threat Labs закликає бути обережними з посиланнями Zoom, особливо з тими, що містять «.zoom.us/rec/play/», і не вводити конфіденційну особисту інформацію у формах реєстрації на зустрічі, навіть якщо форма розміщена на офіційному субдомене, розміщено з правильним логотипом і брендингом. Зараз Zoom працює над вирішенням цих проблем.
Пастка: Google Docs і Google Forms
Веб-додатки, які не мають спеціальної функції URL-адреси, також можуть бути використані подібним чином. Наприклад, форми Google, у яких запитуються конфіденційні дані, можуть бути надані з логотипом відповідної компанії та розповсюджені серед клієнтів або співробітників як yourcompany.docs.google.com/forms/d/e/:form_id/viewform, щоб надати законну форму з'явитися. Подібним чином можна підробити будь-який документ Google, до якого надано спільний доступ за допомогою опції «Опублікувати в Інтернеті». Зараз Google працює над вирішенням цієї проблеми.
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,