Cyberprzestępcy podszywają się pod platformy do wideokonferencji

Czas czytania: 2 min

Uwaga na domeny podszywające się pod Zoom

Rosnąca popularność Zoom wśród pracowników domowych i studentów to nie tylko kolejne spotkania na bezpieczną odległość i zabawne tła. Niedawny wzrost wykorzystania Zoom sprawia, że oprogramowanie do prowadzenia wideokonferencji staje się doskonałym celem dla cyberprzestępców.

Zwiększona aktywność w zakresie wideokonferencji spowodowana przez pandemię COVID-19 dała cyberprzestępcom okazję do skorzystania ze sprawdzonych metod, takich jak typosquatting i URL hijaking. W ten sposób cyberprzestępcy tworzą imitacje znanych platform wideokonferencyjnych. Od początku stycznia zarejestrowano ponad 1700 domen zawierających w sobie słowo ‘zoom’, przy czym 25% z nich pojawiło się w ciągu minionego tygodnia.

Google Classroom i inne plaformy e-learningowe

Gangi cyberprzestępców nie odpuszczają też uczniom i studentom. W sytuacji zagrożenia epidemiologicznego większość placówek edukacyjnych decyduje się na prowadzenie zajęć on-line. Nie dziwi więc, że cyberkryminaliści starają się wykorzystać platformy K-12 i Google Classroom. Doprowadziło to do powstania domen kreatywnie zastępujących hasło Google Classroom. W efekcie możemy natrafić na adresy tupu googloclassroom\.com i googieclassroom\.com.

Omer Dembinskey, kierownik ds. wykrywania zagrożeń w Check Point, podkreśla, że fałszywe domeny dzielą się na trzy kategorie. Pierwsza to te, o których wiadomo, że są złośliwe. Pozostają też takie, które przynajmniej na chwilę obecną stanowią zagrożenie oraz normalne. Istnieją też nieszkodliwe adresy URL, które są legalne i po prostu mają słowo “zoom” w nazwie.

Złośliwe adresy rozpowszechniają InstallCore PUA

Złośliwe domeny mogą być wykorzystywane do dowolnej liczby ataków. Dwie specyficzne odmiany badane przez Check Point to fałszywe strony naśladujące Google Classroom czy Microsoft Teams oraz takie, które naśladują Zoom. Uważaj, ponieważ adresy te były wykorzystywane do rozpowszechniania zagrożenia InstallCore PUA

Jak zauważa komentator, wiele z tych domen mogły być zarejestrowane tylko po to, by następnie zarobić na ich sprzedaży.

Pojawia się też możliwość, że adres mailowy, z którego korzystasz, może być przechwycony w bardzo prosty sposób. Zoom umożliwia korzystanie z funkcji Company Directory. Oznacza to, że wszyscy użytkownicy, których adresy zarejestrowane są na tej samej domenie, stają się dla siebie widoczni. Możliwe jest oczywiście nawiązanie z nimi wideo-rozmowy. Warto o tym pamiętać. Kiedy zajdzie taka potrzeba funkcję Company Directory można wyłączyć.