Держи Zoom шире
Мошенники активизировали кражу аккаунтов в сервисе
Компании в сфере кибербезопасности обнаружили новую схему мошенничества с использованием сервиса видеосвязи Zoom. Злоумышленники рассылают фальшивые письма с официальной почты Zoom, эксплуатируя особенности работы сервиса, чтобы получить платежные данные пользователей или доступ к администрированию их аккаунтов. Как правило, по подобным ссылкам переходит около 20% пользователей, оценивают эксперты.
Рисунок: Виктор Чумачев, Коммерсантъ
Об обнаружении новой русскоязычной мошеннической рассылки о раздаче призов от имени Zoom “Ъ” рассказали в IT-компании «Крок». Мошенники усовершенствовали уже применявшийся ранее сценарий: в письме содержится не только ссылка на фишинговый сайт с розыгрышем призов, который пытается получить платежные данные, но и кнопка для перехода на официальный сайт Zoom. После перехода жертвы по ссылке мошенник получает доступ к аккаунту пользователя. Это позволяет ему в том числе подключаться к видеозаписям жертвы, назначать встречи от ее имени и управлять настройками, говорят в «Крок».
Фальшивые письма отправляются с официального адреса сервиса — no-reply@zoom.us. Для этого мошенники используют особенности Zoom.
Эту схему ранее в октябре раскрыли в Group-IB, предупредив о рассылке с адреса Zoom писем о выплатах «в связи с COVID-2019». При заполнении профиля при регистрации сервис просит указать имя и фамилию, предоставляя возможность вставить до 64 символов в каждое поле, и мошенники вставляют туда свой текст. После регистрации Zoom предлагает клиенту пригласить до десяти новых пользователей, указав их почтовый адрес, чем опять же пользуются мошенники, вводя адреса потенциальных жертв. Тем приходят официальные уведомления от имени сервиса (no-reply@zoom.us), но с содержанием, которое сгенерировали мошенники.
«Злоумышленники научились использовать совсем уж невинные сервисы: достаточно настроить автоматику, которая будет регистрировать новые профили и по спамерской базе формировать десять приглашений на очередные случайные адреса»,— поясняет технический директор Trend Micro в России и СНГ Михаил Кондрашин.
Практика показывает, что в большинстве организаций даже с налаженными процессами обучения кибербезопасности около 80% пользователей открывают фишинговые письма, а 15–20% переходят по зараженным ссылкам, говорит руководитель направления «Информационная безопасность» «Крок» Андрей Заикин. Важно внимательно читать письма, даже те, которые приходят с официальных адресов, и скептически относиться к любым предложениям, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
Схема, вероятно, позволяет красть аккаунты, чтобы затем использовать их для фишинга или вымогательства, полагает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Получение доступа к аккаунту Zoom может повлечь и неправомерное распространение контента — например, платных записей обучающих занятий, отмечает главный аналитик центра выявления угроз Infosecurity a Softline Company Диана Селехина.
Мошенники эксплуатируют не уязвимость, а нюансы функционала сервиса, подчеркивают Алексей Дрозд.
Ответственность с платформой, по его мнению, разделяют и пользователи: они не до конца понимают, как работает Zoom, и «читают по диагонали» предупреждение о том, что их аккаунт становится «подчиненным». Это напоминает ловушки, в которые попадались лет десять назад пользователи «ВКонтакте», когда выяснялось, что не всю информацию можно скрыть от посторонних глаз, или когда оказалось, что документы Google Docs, открытые доступом по ссылке, индексировались «Яндексом» (см. “Ъ” от 5 июля 2018 года). По мнению эксперта, проблема Zoom типична для любого стартапа, который «развивает функционал и не ставит безопасность в приоритет».