Найти в Дзене
Странные мысли
3 подписчика

В Zoom Нашли опасные уязвимости

1
1 мин
Спойлер: (скоро исправят)

Доброго времени суток, сегодня мои странные мысли узнали некую информацию.

Картинка предоставлена сервисом Яндекс.Картинки
Картинка предоставлена сервисом Яндекс.Картинки

Мошенники придумали совсем новую схему пользуясь видеосвязью Zoom. Они рассылают фейковые письма с официальной почты данного сервиса, эксплуатируя особенности его работы, чтобы получить доступ к платежным данным пользователей или доступ к управлению их аккаунтов. Как правило, по таким ссылкам переходит примерно около 20% юзеров.

Рассмотрим уязвимости

  • Схема оригинальная, мошенники хорошо изучили логику работы сервиса Zoom и нашли сразу две уязвимости. 1-я заключается в том, что в поле имени можно ввести абсолютно любой текст, а сервис не проверяет это. К примеру, в обнаруженной схеме мошенники вписывали «Вам положена компенсация в связи с COVID-19» или «Розыгрыш призов» и т.д.
  • 2-я уязвимость, это то что сервис позволяет отсылать приглашения от имени пользователей с этими ложными именами, и "жертва" получит приглашение с реального официального электронного ящика Zoom. Это важно, т.к. в советах по выявлению фишинговых писем упор шёл на почтовый адрес. Мол, внимательно смотрите, он похож на оригинальный до степени смешения. Здесь мошенники эту проблему смогли обойти.
Картинка предоставления сервисом Яндекс.Картинки
Картинка предоставления сервисом Яндекс.Картинки

  • Еще момент, который хочет обратить на себя внимание, это не уязвимость, а некоторые нюансы функционала сервиса – это возможность соподчинить аккаунт. И ответственность тут разделяют пользователи с платформой. Они не до конца понимают, как работает Zoom и «читают по диагонали» предупреждение, что их аккаунт становится подчиненным. Этот функционал наверняка описан в справке/базе знаний/заметках к обновлениям, но читают это единицы, а «просветительскую» кампанию Zoom не ведет.
Это всё напоминает уловки в которые лет 10 назад попадались пользователи «ВКонтакте», когда выясняли, что не всю информацию можно скрыть от посторонних.

Скорее всего, такая схема даёт возможным воровать аккаунты пользователей, чтобы использовать их для своих подлых чёрных дел. И надо иметь в виду, что пока описанные уязвимости остаются до исправления, мошенники могут использовать ход с полем «имя» и для других схем.

Проблема Zoom типична для любого стартапа, которому важно развить функционал, позволяющий зарабатывать деньги. А вот безопасность на этом этапе обычно в приоритет увы не ставят.

-3