Especialistas em segurança e engenheiros de rede estão começando a alertar os usuários sobre um novo tipo perigoso de ataque de engenharia social que afeta aqueles que usam aplicativos de reuniões on-line. Os invasores que obtiveram o controle de uma conta de e-mail ou mensageiro comprometida conseguiram gerar um grande número de convites de calendário forjados, que podem então enviar para um grande número de pessoas de uma só vez. Assim que alguém que clica nesses convites insere suas informações, uma máquina remota as anota e as envia de volta aos malfeitores que estavam por trás do ataque.
Indiscutivelmente, mais pessoas usam serviços de reuniões on-line do que nunca, o que torna esse tipo de ataque particularmente preocupante. De acordo com um estudo, apenas o Zoom registra mais de 3.3 trilhões de minutos de uso todos os anos e esse número provavelmente aumentará. Devido aos recursos de privacidade de alguns aplicativos como Slack e Discord, pode ser difícil saber quantas pessoas estão em um servidor, a menos que você mesmo esteja nele. Isso significa que alguns usuários podem estar expostos a esses tipos de ataques de engenharia social sem que muitos de seus colegas de trabalho estejam cientes do fato.
É essa preocupação em particular que deixa muitas pessoas no setor de segurança cibernética ansiosas.
Aproveitando os convites do calendário como um vetor de ataque
Imitadores de sites altamente qualificados conseguiram criar páginas de convite de calendário com aparência realista que parecem vir de qualquer um dos serviços populares que estão sendo alvo desses invasores. Os usuários de serviços de reuniões on-line geralmente têm listas de contatos grandes, o que significa que alguém que obtivesse o controle de uma delas estaria livre para enviar um grande número de convites quase instantaneamente. Esses convites pareceriam, pelo menos teoricamente, vir de uma fonte legítima.
Dependendo de quão realistas parecessem, eles poderiam encorajar usuários externos a desistir de suas credenciais de e-mail ou entregar detalhes de contato relacionados a serviços de compartilhamento de arquivos anexados ao seu aplicativo de reunião. Aqueles que trabalham em casa podem compartilhar informações por meio de algo como DropBox ou OneDrive. Se for esse o caso, eles podem ter poucos escrúpulos em compartilhar suas informações de login com uma tela de login de aparência legítima. Assim que entrarem, no entanto, um malfeitor poderá repentinamente começar a enviar material infectado que poderá compartilhar com outras pessoas.
Para piorar a situação, relativamente pouco trabalho foi feito para proteger a maioria dos aplicativos de calendário digital. Um grande desenvolvimento no espaço tem sido resolver outros problemas não relacionados que os atormentava desde que começaram a se tornar populares. Os desenvolvedores que já se sentiram assediados por esses problemas agora estão sendo solicitados a resolver possíveis vazamentos de segurança.
Corrigindo aplicativos de calendário contra ataques de engenharia social
Os engenheiros estão achando difícil corrigir esses vazamentos, em grande parte devido ao fato de que eles geralmente se baseiam mais em um nível de confiança percebido do que em limitações técnicas reais. Em muitos casos, os próprios ataques limitam-se a alguém que falsifica a conta de outra pessoa e depois solicita detalhes da conta numa sala de chat aberta. Desde que as pessoas nunca coloquem os seus dados de contacto num formulário gerido por alguém que não seja a pessoa que presta o serviço, é pouco provável que estes ataques ocorram. A equipe técnica trabalha principalmente para educar os consumidores sobre o perigo de compartilhar credenciais.
Os usuários individuais que desejam fazer algo nesse meio tempo podem querer explorar outras opções. Poucos produtos de segurança de nível comercial são suficientemente robustos para lidar com estas novas ameaças, pelo que poderão querer analisar Alternativas Lifelock para proteção contra roubo de identidade, que pode oferecer recursos não vistos em aplicativos mais populares. Isso pode ajudar os usuários a mitigar os danos causados se eles se encontrarem em uma situação difícil após fornecer informações de contato a um destinatário fraudulento.
Alguns podem ficar surpreendidos com o facto de as pessoas continuarem a entrar em conflito com este tipo de esquemas em 2021, especialmente considerando quanta atenção lhes foi dada no passado. No entanto, os maus atores têm um novo truque na manga que torna mais fácil enganar até mesmo os internautas cansados.
Convencer as pessoas a entregar seus dados
Depois que uma pessoa tiver uma conta roubada por qualquer motivo, os malfeitores poderão fazer um bom trabalho agindo como eles. Usando caracteres Unicode especiais, eles poderiam fazer com que um URL fraudulento parecesse realmente ter vindo dos servidores do aplicativo em questão, o que poderia garantir que até mesmo os usuários mais experientes pudessem desistir de suas credenciais. Os especialistas em segurança começaram a procurar maneiras de reforçar os protocolos de texto Unicode para reduzir o risco de isso acontecer.
Enquanto isso, os usuários são solicitados a ficar atentos e se perguntar se alguém realmente precisa de uma senha ou de outras informações depois de já estar logado em um aplicativo.
- 2021
- Conta
- Ad
- Todos os Produtos
- app
- Aplicação
- aplicações
- Aplicativos
- por aí
- Ataques
- auto
- Calendário
- casos
- Consumidores
- conteúdo
- continuar
- Credenciais
- ataques cibernéticos
- Cíber segurança
- acordo
- desenvolvedores
- Desenvolvimento
- digital
- discórdia
- Dropbox
- borda
- Engenharia
- Engenheiros
- Entra
- Moda
- Funcionalidades
- Primeiro nome
- formulário
- Gratuito
- cheio
- Bom estado, com sinais de uso
- ótimo
- Cresça:
- Início
- Como funciona o dobrador de carta de canal
- HTTPS
- enorme
- Identidade
- Roubo de Identidade
- indústria
- INFORMAÇÕES
- IT
- Trabalho
- grande
- Vazamentos
- Nível
- Limitado
- listas
- longo
- olhou
- Fazendo
- Matéria
- Messenger
- networking
- números
- oferecer
- onedrive
- online
- aberto
- Opções
- Outros
- Senha
- Remendo
- Pessoas
- plug-in
- Popular
- política de privacidade
- Produtos
- reduzir
- Risco
- Execute
- Peneira
- segurança
- Serviços
- Partilhar
- folga
- pequeno
- So
- Redes Sociais
- Engenharia social
- Espaço
- Spot
- começo
- começado
- roubado
- Estudo
- Dados Técnicos:
- roubo
- ameaças
- Confiança
- unicode
- usuários
- Site
- QUEM
- Atividades:
- trabalho a partir de casa
- ano
- zoom