-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Nowy-stary phishing w zaproszeniu ICS do kalendarza

08 lipca 2020, 10:00 | W biegu | 0 komentarzy

Po raz kolejny spamerzy próbują atakować kalendarze, wysyłając zaproszenia w formie standardowych plików .ics. Podobnie jak w zeszłym roku, gdzie celem były usługi Google automatycznie dodające wydarzenia do kalendarza, tak i tym razem zaproszenie jest zwykłym plikiem. ics, zawierającym jednak w opisie link do strony podstawionej przez atakujących. Taka konstrukcja ma pomóc w ominięciu filtrów antyspamowych. Jedną z odmian wzięli pod lupę badacze z Cofense Phishing Defense Center i w tym przypadku wiadomość pochodziła od osoby przedstawiającej się jako Walker i miała tytuł “Fraud Detection from Message Center”, jednak istnieje co najmniej kilka odmian tego maila i kilku nadawców. Konto, z którego wysyłane są maile, jest prawdopodobnie przejętym kontem istniejącej osoby, stąd łatwiejsze jest ominięcie filtrów DKIM/SPF.

Żeby było ciekawiej, link nie prowadzi bezpośrednio do strony wykradającej dane, a do strony hostowanej na serwerach Microsoft (w usłudze Sharepoint), gdzie zawarty jest link do strony na serwerach Google (googleapis), gdzie z kolei umieszczony jest panel łudząco przypominający stronę Wells Fargo – i tu już mamy próbę wyłudzenia danych. Uff… Oczywiście hostowanie strony na serwisach, gdzie z jednej strony każdy może coś umieścić, a z drugiej adres wygląda bardzo przekonująco, powoduje, że trudniej jest wychwycić i automatycznie zablokować takie witryny, a czujność atakowanych osób może zostać nieco uśpiona. Na koniec, żeby jeszcze bardziej nie dać powodów do podejrzeń, po wpisaniu swoich danych atakowane osoby są faktycznie przekierowywane na strony Wells Fargo, więc mogą nawet nie zauważyć wycieku (czyt. dobrowolnego oddania) swoich danych.

Prośba o podanie pinu do karty i hasła do skrzynki mailowej – to nie może skończyć się dobrze.

 

Przykład jak może wyglądać kod zaproszenia na spotkanie w .ics z linkiem do strony phishingowej.

–Krzysztof Wosiński

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz