В Zoom нашли две опасных уязвимости
30.10.2020

Мошенники придумали новую схему с использованием сервиса видеосвязи Zoom. Они рассылают фальшивые письма с официальной почты сервиса, эксплуатируя особенности его работы, чтобы получить платежные данные пользователей или доступ к администрированию их аккаунтов. Как правило, по подобным ссылкам переходит около 20% юзеров. Подробно сценарий описывает газета «Коммерсантъ». Алексей Дрозд, начальник отдела ИБ «СёрчИнформ», впечатлен креативностью мошенников и напоминает об ответственности пользователей. 

Алексей Дрозд– Схема креативная, мошенники хорошо изучили логику работы Zoom и нашли сразу две уязвимости. Первая заключается в том, что в поле имени можно ввести любой текст, а сервис никак не проверяет это. Например, в обнаруженной коллегами по отрасли схеме мошенники вписывали «Вам положена компенсация в связи с COVID-19» или «Розыгрыш призов». 

Вторая уязвимость в том, что сервис позволяет отсылать приглашения от имени пользователей с этими ложными именами, и адресат получит приглашение с реального корпоративного ящика Zoom. Это очень важно, т.к. в советах по выявлению фишинговых писем основной упор всегда шёл на почтовый адрес. Мол, внимательно смотрите, он похож на оригинальный до степени смешения. Здесь мошенники эту проблему обошли. 
  
Еще один момент, который обращает на себя внимание, это не уязвимость, а нюансы функционала сервиса – возможность соподчинить аккаунт. И ответственность тут с платформой разделяют пользователи. Они не до конца понимают, как работает Zoom и «читают по диагонали» предупреждение, что их аккаунт становится подчиненным. Этот функционал сервиса наверняка описан в справке/базе знаний/заметках к обновлениям, но читают это единицы, а «просветительскую» кампанию Zoom не ведет. 

Всё это напоминает ловушки в которые лет десять назад попадались пользователи «ВКонтакте», когда вдруг выясняли, что не всю информацию можно скрыть от посторонних. Или когда стало ясно, что документы GoogleDocs с открытым доступом по ссылке индексируются поисковиком «Яндекс».

[insert name="insert-try"]

Вероятнее всего, схема позволяет воровать аккаунты, чтобы использовать их для фишинга или вымогательства. И надо иметь в виду, что пока описанные уязвимости остаются, мошенники могут использовать лазейку с полем «имя» и для других схем.

Проблема Zoom типична для любого стартапа, которому важно развить функционал, позволяющий зарабатывать деньги. А вот безопасность на этом этапе обычно в приоритет не ставят. 

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.