Специалисты по безопасности и сетевые инженеры начинают предупреждать пользователей об опасном новом типе атаки социальной инженерии, которая затрагивает тех, кто использует приложения для онлайн-конференций. Злоумышленники, получившие контроль над скомпрометированной электронной почтой или учетной записью мессенджера, смогли создать большое количество поддельных приглашений в календаре, которые затем можно разослать большому количеству людей одновременно. Как только кто-то, нажимающий на эти приглашения, вводит свою информацию, удаленная машина запоминает ее и отправляет обратно злоумышленникам, которые изначально стояли за атакой.
Возможно, сейчас больше людей пользуются услугами онлайн-встреч, чем когда-либо, что делает такого рода атаки особенно тревожными. Согласно одному исследованию, только Zoom регистрирует более 3.3 триллиона минут использования каждый год, и это число, вероятно, будет расти. Из-за функций конфиденциальности некоторых приложений, таких как Slack и Discord, может быть сложно узнать, сколько людей находится на сервере, если вы сами не находитесь на нем. Это означает, что некоторые пользователи могут подвергнуться такого рода атакам социальной инженерии, хотя многие из их коллег даже не подозревают об этом.
Именно эта проблема заставляет многих людей в индустрии кибербезопасности нервничать.
Использование приглашений в календаре как вектор атаки
Высококвалифицированные имитаторы веб-сайтов смогли создать реалистично выглядящие страницы с приглашениями в календаре, которые выглядят так, как будто они принадлежат любому из популярных сервисов, на которые нацелены эти злоумышленники. Пользователи служб онлайн-встреч обычно имеют полноразмерные списки контактов, а это означает, что тот, кто получит контроль над одним из них, сможет практически мгновенно рассылать огромное количество приглашений. Эти приглашения, по крайней мере теоретически, будут выглядеть так, как будто они поступили из законного источника.
В зависимости от того, насколько реалистично они выглядели, они могли побудить внешних пользователей отказаться от своих учетных данных электронной почты или предоставить контактные данные, относящиеся к службам обмена файлами, прикрепленные к их заявке на собрание. Те, кто работает дома, могут делиться информацией через DropBox или OneDrive. Если это так, то у них, возможно, не возникнет никаких сомнений в том, что они будут делиться своей информацией для входа на экран входа в систему, который в остальном выглядит законно. Однако, как только они войдут в него, злоумышленник может внезапно начать загружать зараженный материал, которым он сможет поделиться с другими людьми.
Что еще хуже, для обеспечения безопасности большинства приложений цифрового календаря было проделано сравнительно мало работы. Большое развитие в космосе было направлено на решить другие несвязанные вопросы это преследовало их с тех пор, как они впервые стали популярными. Разработчиков, которые уже почувствовали себя озадаченными этими проблемами, теперь просят устранить потенциальные утечки безопасности.
Исправление приложений календаря от атак социальной инженерии
Инженерам сложно устранять эти утечки, в немалой степени из-за того, что они обычно больше основаны на предполагаемом уровне доверия, чем на реальных технических ограничениях. Во многих случаях сами атаки ограничиваются тем, что кто-то подделывает чужую учетную запись, а затем запрашивает данные учетной записи в открытом чате. До тех пор, пока люди никогда не будут вводить свои контактные данные в форму, управляемую кем-то, кроме людей, предоставляющих услуги, такие атаки вряд ли состоятся. Технический персонал в первую очередь работает над информированием потребителей об опасности обмена учетными данными.
Отдельные пользователи, которые тем временем хотят что-то сделать, возможно, захотят изучить другие варианты. Немногие продукты безопасности коммерческого уровня достаточно надежны, чтобы справиться с этими новыми угрозами, поэтому они, возможно, захотят рассмотреть Альтернативы Lifelock для защиты от кражи личных данных, который может предлагать функции, которых нет в более популярных приложениях. Это может помочь пользователям смягчить нанесенный ущерб, если они оказались в затруднительном положении после предоставления контактной информации мошенническому получателю.
Некоторые могут быть удивлены тем, что люди продолжают сталкиваться с подобными схемами в 2021 году, особенно если учесть, сколько внимания им уделялось в прошлом. Однако у плохих актеров в рукаве есть новый трюк, который позволяет обмануть даже измученных пользователей сети.
Убедить людей раскрыть свои данные
Если по какой-либо причине у человека украли учетную запись, злоумышленники потенциально могут неплохо справиться с этой задачей, выступая от его имени. Используя специальные символы Юникода, они могут сделать мошеннический URL-адрес похожим на то, что он действительно пришел с серверов рассматриваемого приложения, что может гарантировать, что даже самые опытные пользователи смогут отказаться от своих учетных данных. Специалисты по безопасности начали искать способы ужесточения текстовых протоколов Unicode, чтобы снизить риск возникновения подобных ситуаций.
Тем временем пользователей просят быть бдительными и задаваться вопросом, действительно ли кому-то понадобится пароль или другая информация после того, как они уже вошли в приложение.
- 2021
- Учетная запись
- Ad
- Все
- приложение
- Применение
- Приложения
- Программы
- около
- нападки
- автоматический
- Календарь
- случаев
- Потребители
- содержание
- продолжать
- Полномочия
- кибератаки
- Информационная безопасность
- сделка
- застройщиков
- Развитие
- Интернет
- раздор
- Dropbox
- Edge
- Проект и
- Инженеры
- Вводит
- Фэшн
- Особенности
- Во-первых,
- форма
- Бесплатно
- полный
- хорошо
- большой
- Расти
- Главная
- Как
- HTTPS
- огромный
- Личность
- Identity Theft
- промышленность
- информация
- IT
- работа
- большой
- Утечки
- уровень
- Ограниченный
- Списки
- Длинное
- смотрел
- Создание
- Вопросы
- Messenger
- сетей
- номера
- предлагают
- Один диск
- онлайн
- открытый
- Опции
- Другое
- Пароль
- Патчи
- Люди
- плагин
- Популярное
- политикой конфиденциальности.
- Продукция
- уменьшить
- Снижение
- Run
- экран
- безопасность
- Услуги
- Поделиться
- слабина
- небольшой
- So
- Соцсети
- Социальная инженерия
- Space
- Спотовая торговля
- Начало
- и политические лидеры
- украли
- Кабинет
- Технический
- кража
- угрозы
- Доверие
- юникода
- пользователей
- Вебсайт
- КТО
- Работа
- работать из дома
- год
- зум