Οι απειλητικοί παράγοντες που πραγματοποιούν phishing επιθέσεις κάνουν ενεργή κατάχρηση του Calendly για να ξεκινήσουν μια έξυπνη ακολουθία για να εξαπατήσουν τους στόχους ώστε να εισάγουν τα email account credentials τους στη phishing σελίδα.
Δείτε επίσης: FBI: Προειδοποιεί για επιθέσεις phishing στις εκλογές του 2022
Το Calendly είναι μια πολύ δημοφιλής δωρεάν εφαρμογή ημερολογίου με ενσωμάτωση Zoom, που χρησιμοποιείται για τον προγραμματισμό συναντήσεων και χρησιμοποιείται συνήθως από οργανισμούς για την αποστολή προσκλήσεων για επερχόμενες εκδηλώσεις.
Ως εκ τούτου, η χρήση του για την αποστολή κακόβουλων links συνδυάζεται πολύ καλά με το καθημερινό εργασιακό υπόβαθρο των περισσότερων θυμάτων, επομένως είναι απίθανο αυτές οι προσπάθειες να εγείρουν υποψίες.
Επίσης, τα email που δημιουργούνται και αποστέλλονται από νόμιμες πλατφόρμες θεωρούνται συνήθως αξιόπιστα από τα εργαλεία ασφαλείας email, επομένως τείνουν να φτάνουν σε στοχευμένα εισερχόμενα και όχι στον φάκελο ανεπιθύμητων μηνυμάτων.
Τέλος, το Calendly επιτρέπει στους νέους χρήστες να εγγραφούν στην πλατφόρμα χωρίς να εισάγουν στοιχεία πιστωτικής κάρτας ή οποιοδήποτε άλλο αποδεικτικό ταυτότητας, καθιστώντας την εύκολη πλατφόρμα για κατάχρηση.
Δείτε επίσης: Άνοδος στις απόπειρες phishing εναντίον των smartphones
Τα πρώτα σημάδια κατάχρησης του Calendly ξεκίνησαν προς τα τέλη Φεβρουαρίου, όπως αναφέρουν αναλυτές στο INKY, οι οποίοι μοιράστηκαν την έκθεσή τους με την Bleeping Computer πριν από τη δημοσίευση.
Κατάχρηση του Calendly για επιθέσεις phishing
Η επίθεση phishing ξεκινά με phishing emails που δημιουργούνται στην πλατφόρμα Calendly και ενημερώνουν τον παραλήπτη ότι έλαβε νέα έγγραφα Fax.
Για να δημιουργήσουν αυτά τα emails, οι απειλητικοί φορείς έκαναν κατάχρηση μιας δυνατότητας Calendly που επιτρέπει στους χρήστες να δημιουργούν προσαρμοσμένα invite emails και μια λειτουργία “Add Custom Link” για να εισάγουν έναν κακόβουλο link στη σελίδα του συμβάντος.
Αυτό το link είναι ενσωματωμένο σε ένα κουμπί “View Documents” και εισάγεται στην οθόνη του ημερολογίου, επομένως, εάν γίνει κλικ, μεταφέρεται ο παραλήπτης στην πραγματική phishing σελίδα που χρησιμοποιείται για την κλοπή των login credentials.
Η INKY ανακάλυψε ότι ανεξάρτητα από τα θέλγητρα σε αυτήν την phishing καμπάνια, η σελίδα προορισμού υποδυόταν πάντα μια φόρμα σύνδεσης της Microsoft με το έγγραφο που υποτίθεται ότι ήταν θολό στο φόντο.
Τυχόν credentials που εισάγονται στο παράθυρο διαλόγου θα πάνε κατευθείαν στους απειλητικούς παράγοντες, ενώ το θύμα θα κληθεί να τα εισάγει ξανά λόγω υποτιθέμενης εισαγωγής λανθασμένου κωδικού πρόσβασης.
Αυτό είναι ένα ευρέως διαδεδομένο κόλπο στις καμπάνιες phishing του σήμερα, καθώς ο εξαναγκασμός του χρήστη να εισάγει τα credentials του δύο φορές ελαχιστοποιεί τις πιθανότητες κλοπής κωδικών πρόσβασης με λάθη τυπογραφικού λάθους και μερικές φορές βοηθά ακόμη και στην απόσπαση δύο account credentials.
Δείτε επίσης: Νέο phishing toolkit επιτρέπει τη δημιουργία ψεύτικων παραθύρων Chrome
Μετά τη δεύτερη προσπάθεια, το θύμα ανακατευθύνεται αυτόματα στο domain του λογαριασμού email που εισήγαγε για να ελαχιστοποιηθούν οι πιθανότητες να συνειδητοποιήσει το θύμα την παραβίαση.
Τι να προσέξετε
Αν και αυτή είναι η πρώτη φορά που οι απειλητικοί παράγοντες επιθέσεων phishing κάνουν κατάχρηση της πλατφόρμας Calendly, όλα τα άλλα κόλπα που χρησιμοποιούνται σε αυτήν την καμπάνια είναι συνηθισμένα.
Αυτά περιλαμβάνουν τη δημιουργία κακόβουλων μηνυμάτων που αποστέλλονται από μια νόμιμη διαδικτυακή υπηρεσία, ζητώντας από τον χρήστη να συνδεθεί για να δει ένα θολό έγγραφο στο παρασκήνιο. Τα θύματα αναγκάζονται να εισάγουν τα credentials τους δύο φορές και στο τέλος ανακατευθύνονται σε έναν αξιόπιστο ιστότοπο.
Δύο προφανείς ενδείξεις απάτης σε αυτήν την καμπάνια είναι η απαίτηση χρήσης των credentials του Microsoft SharePoint για την προβολή περιεχομένου που φιλοξενείται στο Calendly και η διεύθυνση URL στη σελίδα phishing, η οποία δεν βρίσκεται ούτε στα domains της Microsoft ούτε στα domains του Calendly.
Τέλος, η χρήση ενός διαχειριστή κωδικών πρόσβασης είναι ένας εύκολος τρόπος για να παρακάμψετε όλα αυτά τα κόλπα, ιδιαίτερα επωφελής για απρόσεκτους χρήστες, καθώς εάν η διεύθυνση URL στη σελίδα σύνδεσης δεν ταιριάζει με αυτή που είναι αποθηκευμένη στο θησαυροφυλάκιο, τα διαπιστευτήρια δεν θα συμπληρωθούν.
Πηγή πληροφοριών: bleepingcomputer.com
