Специалисты Check Point рассказали, что еще в январе 2020 года помогли компании Zoom устранить проблему, связную со ссылками Vanity URL, из-за которой хакеры могли выдать себя за сотрудников компании-жертвы. То есть злоумышленники могли отправлять приглашения на деловые встречи в Zoom, которые выглядели как ссылки, исходящие от компании-жертвы.

Vanity URL представляет собой URL-адрес конкретной компании и выглядит как ссылка формата yourcompany.zoom.us. Компания может пометить эту страницу своим логотипом и другими фирменными знаками. Чтобы присоединиться к такому корпоративному собранию, пользователям нужно просто перейти по Vanity-ссылке.

Отправив приглашение с Vanity URL компании-жертвы клиентам этой компании, хакеры могли завоевать их доверие, а затем перехватить учетные данные и другую конфиденциальную информацию. То есть URL-адрес будет указывать на поддомен, зарегистрированный злоумышленником, но с именем, аналогичным имени нужной компании.

Исследователи рассказывают, что ранее злоумышленники могли манипулировать Vanity URL двумя способами:

  • Таргетинг по прямым ссылкам:при организации собрания хакер мог изменить URL-адрес приглашения, чтобы включить зарегистрированный поддомен по своему выбору. Другими словами, если исходная ссылка имела формат https://zoom.us/j/##########, злоумышленник мог изменить ее на https://<название организации>.zoom.us/j/##########. И пользователь, получающий такое приглашение, мог не распознать, фейковое или это приглашение или же оно было создано что реальной организацией.
  • Нацеленность на фирменные веб-интерфейсы Zoom: некоторые организации имеют собственный веб-интерфейс Zoom для конференций. Хакер мог настроить интерфейс компании-жертвы и мог попытаться перенаправить пользователя на вредоносную ссылку. Как и в предыдущем случае, без специальных знаний жертва могла не распознать сразу фальшивую ссылку.

1 комментарий

  1. Аватар

    adsec2s

    21.07.2020 в 12:04

    Опечатка «выглядит ссылка формата как», должно быть «выглядит, как ссылка формата».

    Вот песатели. Давать поменять ссылку на включающую поддомен компании, в которую атакующий не входит, это пять.

Оставить мнение