Prenumerera på oss 
En kampanj för insamling av referenser som upptäcktes av INKY i slutet av februari försökte locka sina offer till Calendly, en legitim och gratis kalenderapp online.
Cyberbrottslingar som är specialiserade på nätfiskeattacker gillar att omdirigera människor till riktiga webbplatser så mycket som möjligt. Att använda sådana webbplatser ger bedrägeriet en legitimitet, vilket ökar chanserna att lura mottagare. I en rapport på torsdagen beskriver e-postsäkerhetsleverantören INKY en nyligen genomförd nätfiskekampanj som utnyttjade kalenderappen Calendly för att samla in känsliga kontouppgifter från intet ont anande offer.
Upptäckt av INKY i slutet av februari, personerna bakom denna specifika nätfiskeattack infogade skadliga länkar i evenemangsinbjudningar som skickades via Calendly. En av anledningarna till att kriminella valde Calendly kan vara att sajten tillåter användare att skapa gratiskonton utan att ange kreditkorts- eller betalningsinformation. En annan möjlig orsak är att användare kan anpassa Calendlys inbjudningssidor, så att bedragare kan infoga skadliga länkar.
SE: “Browser-in-browser”-attacker: En förödande ny nätfisketeknik uppstår (TechRepublic)
För att starta kampanjen skickade angriparna nätfiske-e-post från olika hackade konton. Några 64 INKY-kunder kollade sina inkorgar bara för att hitta dessa e-postmeddelanden med ett meddelande om “nya dokument mottagna” och en länk för att påstås se dessa dokument. Genom att klicka på länken kommer mottagaren sedan till en inbjudan till evenemanget på Calendly.
Eventinbjudan innehöll en länk som heter Document Preview. Och det var här bluffen blev farlig. Att klicka på den här länken skulle ha tagit användaren till en webbsida som såg ut som en Microsoft-webbplats, men som faktiskt var inställd för att stjäla Microsoft-kontouppgifter.
Efter att ha tagit betet, klickade INKY-forskare på länken och angav ett falskt användarnamn och lösenord på nätfiskesidan. Det första försöket utlöste ett ogiltigt lösenordsfel, en känd taktik där användaren får veta att deras autentiseringsuppgifter är ogiltiga, men dessa uppgifter samlas in bakom kulisserna. Ett andra försök att ange inloggningsuppgifterna utlöste inte samma fel, utan omdirigerade helt enkelt användaren till det egna företagets webbplats som anges i deras e-postadress.
För den här kampanjen använde angriparna en mängd olika underhandstaktik:
- Varumärkesusurpation. Att imitera ett varumärke som Microsoft ger förtrogenhet.
- Samling av identifierare. Offren tror att de ansluter till en legitim webbplats men avslöjar faktiskt sina referenser för angripare.
- Intrång i e-postkonton. Angripare använder och missbrukar legitima e-postkonton för att kringgå säkerhetsgateways.
- Dynamisk omdirigering. Bedragare använder offrets egen e-postadress för att omdirigera dem till sitt eget företags webbplats.
Rekommendationer för att förhindra en attack
För att hjälpa till att skydda dig och din organisation mot den här typen av nätfiskeattacker erbjuder INKY följande tips:
- Granska alltid avsändarens e-postadress och visningsnamn. I attacken som beskrevs av INKY påstods e-postmeddelandet vara skickat av Microsoft men kom från en icke-Microsoft-domän.
- Håll alltid muspekaren över en länk för att se dess faktiska destination. Även om calendly.com är en legitim och säker webbplats, går du normalt inte dit för att se ett Microsoft-meddelande.
- För att försvara sig mot insamling av autentiseringsuppgifter är ett alternativ att använda en lösenordshanterare. Dessa verktyg jämför automatiskt webbadressen till en webbplats med webbadressen som lagras i deras databas. Om de två inte matchar kommer lösenordshanteraren inte att ange referenserna. I det här fallet skulle URL-nätfiskewebbplatsen som utger sig för att vara Microsoft inte ha accepterat den URL som lagras i Microsofts lösenordshanterare.
Källa
