Каждый день злоумышленники находят все новые и новые способы доставки фишинговых сообщений конечным пользователям. На днях, специалисты компании «Cofense», специализирующейся на выявлении фишинга, обнаружили использование мошенниками событий электронного календаря для проведения фишинговых атак.
Что произошло
Исследователи «Cofense» обнаружили фишинговую атаку в корпоративных почтовых средах использующих продукты Proofpoint и Microsoft.
- Атака добавляет в календарь приглашения в формате .ics, содержащие фишинговые ссылки в теле с темой «Обнаружение неисправностей центра сообщений» от отправителя с отображаемым именем «Walker».
- Злоумышленники использовали скомпрометированную учетную запись электронной почты, принадлежащую одному из школьных округов, чтобы обойти фильтры электронной почты, опираясь на технологии DKIM и SPF, которые аутентифицируют домены отправителя.
- В поддельном приглашении была предложена запись в календаре с URL-адресом, размещенная на сервисе Microsoft SharePoint. URL отображал еще одну ссылку на фишинговый сайт, размещенный на хостинге Google, на котором отображалась очередная поддельная страница для входа в «Wells Fargo», популярную инвестиционную платформу.
- Кампания нацелена на сбор регистрационных данных, ПИН-кодов кредитных карт и номеров счетов, а также учетных данных электронной почты. По завершении сбора, пользователей перенаправляли на настоящий веб-сайт «Wells Fargo» чтобы подавить любые подозрения.
Актуальные угрозы, использующие приложения-календари
Мошенники и ранее пользовались настройками календаря «по умолчанию», чтобы обманом заставить пользователей нажимать на вредоносные ссылки.
- В июне злоумышленник выдал себя за члена группы безопасности «Wells Fargo» и разослал фишинговые сообщения, содержащиеся в приглашениях приложения календаря.
- В октябре прошлого года был случай атаки с использованием календаря Google. Мошенники отправляли поддельные приглашения, содержащие вредоносные ссылки, в календарь, на адрес электронной почты жертвы.
Как защититься от атаки?
В очередной раз стоит напомнить, что не следует открывать подозрительные ссылки или вложения в нежелательных электронных письмах. Рекомендуется также отключить автоматическое добавление собраний по приглашению в настройках Вашего календаря.
Перевод сделан со статьи https://cyware.com/