Truffe sugli inviti del calendario
Catch a spoofed calendar invite before the fake meeting page harvests your credentials.
Cos’è Truffe sugli inviti del calendario?
Il phishing degli inviti al calendario è emerso come un canale ad alto rendimento per la raccolta di credenziali perché elude due dei controlli che gli utenti ritengono di proteggerli. Il primo è il gateway di sicurezza della posta elettronica: molti protocolli di calendario distribuiscono gli inviti su un canale separato che il gateway non ispeziona mai, quindi qualsiasi URL di accesso dannoso all'interno dell'invito arriva senza essere scansionato. Il secondo è la cautela umana: un evento presente nel tuo calendario sembra pre-controllato, soprattutto quando la politica aziendale di accettazione automatica inserisce automaticamente gli inviti esterni nel giorno senza mai chiederti di guardare il mittente. Gli aggressori sfruttano entrambe le lacune con un file ICS raffinato proveniente da un sosia di una sola lettera di un dominio di un fornitore reale, un promemoria dell'ultimo minuto programmato per cortocircuitare la verifica e un collegamento di partecipazione che arriva a una pagina di raccolta delle credenziali progettata per assomigliare a una piattaforma di riunione legittima. La difesa più affidabile è procedurale piuttosto che percettiva: leggere l'effettivo indirizzo e-mail dell'organizzatore anziché il nome visualizzato, controllare l'URL di partecipazione confrontandolo con i domini della piattaforma di riunione reale (zoom.us, teams.microsoft.com o la propria piattaforma aziendale) e confermare la riunione fuori banda su un numero di cui ci si fida già prima di fare clic su Partecipa. In questa simulazione, tu sei Alice, un'analista di conformità dei fornitori presso CypherPeak Technologies. Una revisione della conformità del fornitore del primo trimestre da parte di un partner noto viene visualizzata sul tuo calendario tramite accettazione automatica, con un promemoria di cinque minuti e un collegamento di partecipazione che punta a un dominio della riunione sconosciuto tramite HTTP. Ispezionerai l'indirizzo dell'organizzatore, individuerai il dominio simile, effettuerai una richiamata fuori banda al tuo vero contatto con il fornitore, eliminerai l'evento ostile, accederai al portale di sicurezza per archiviare un rapporto strutturato sull'incidente, esaminerai il briefing di conferma e rilevamento del team SOC ed esplorerai le abitudini di verifica che il resto del tuo team deve adottare. L'esercizio dimostra perché un nome visualizzato riconoscibile non prova nulla riguardo al mittente, perché qualsiasi piattaforma di riunione che richiede la password aziendale è una raccolta di credenziali piuttosto che una riunione e perché l'archiviazione rapida di un rapporto su un evento mancato è ciò che trasforma un singolo invito rifiutato in un blocco a livello aziendale presso il gateway di posta elettronica e il risolutore DNS.
Cosa imparerai in Truffe sugli inviti del calendario
- Riconoscere il modo in cui i criteri di accettazione automatica del calendario ignorano il gateway di sicurezza della posta elettronica consegnando gli inviti su un protocollo che il gateway non controlla
- Leggi l'effettivo indirizzo e-mail dell'organizzatore anziché il nome visualizzato per individuare sosia di una lettera o TLD diversi dei domini dei fornitori reali
- Controlla l'URL di partecipazione su ogni invito e rifiuta di inserire le credenziali su qualsiasi dominio che non sia una piattaforma di riunione conosciuta (zoom.us, teams.microsoft.com o la tua piattaforma aziendale)
- Trattate i tempi stretti dell’ultimo minuto e le richieste di adesione immediata come pressioni di ingegneria sociale progettate per cortocircuitare la verifica
- Verifica gli inviti a riunioni sospette fuori banda su un numero di telefono, una chat o una voce della directory autenticata prima dell'arrivo della richiesta sospetta, mai le informazioni di contatto all'interno dell'invito
- Elimina gli eventi del calendario ostili confermati in modo che il collegamento di partecipazione non possa essere cliccato per errore in un secondo momento e in modo che il team SOC abbia uno stato pulito su cui lavorare
- Invia un rapporto strutturato sull'incidente che acquisisca l'indirizzo falsificato dell'organizzatore, l'URL di iscrizione falso e la descrizione del rilevamento in modo che il SOC possa bloccare il gateway di posta elettronica e il risolutore DNS e cercare tentativi paralleli
Truffe sugli inviti del calendario — Fasi della formazione
-
Un martedì tranquillo a casa
È un tranquillo martedì mattina. Alice sta finendo le schede dei fornitori dalla scrivania del suo ufficio. Il suo consueto partner trimestrale per la conformità, Halcyon Insurance Group, non avrà una revisione fino ad aprile, quindi la giornata sembra routine.
-
Un promemoria inaspettato
Dalla barra delle applicazioni viene visualizzato un promemoria della riunione: Revisione conformità fornitore Q1: inizia tra 5 minuti . Ospitato da qualcuno chiamato Marco Reyes dell'Halcyon Insurance Group. Alice non ha mai accettato questo invito: è stato aggiunto automaticamente al suo calendario dalla politica aziendale.
-
Ispeziona la riunione
La revisione della conformità del fornitore del primo trimestre è proprio nell'agenda di oggi, contrassegnata con Esterno e Accettazione automatica . Il pulsante Partecipa alla riunione è a portata di clic.
-
Pausa prima del clic
L'orologio segna le 2:27. Il promemoria dice che la riunione inizia tra tre minuti. L'istinto di Alice è quello di fare clic su Partecipa alla riunione: il calendario lo ha già accettato, il nome dell'organizzatore corrisponde a un partner reale e la richiesta sembra di routine. Ma una voce del calendario non è la stessa cosa di un invito verificato. Prima di fare clic su Partecipa, qual è la mossa più sicura?
-
Leggi l'indirizzo e il collegamento
Alice rallenta e legge le parti dell'invito che di solito salta: l'e-mail dell'organizzatore e l'URL di iscrizione. I nomi visualizzati sono decorativi. L'indirizzo è la verità.
-
Verificare con il venditore
Alice prende il telefono e chiama Sarah Donovan, il suo contatto abituale ad Halcyon, sull'interno che ha conservato da due anni. Non il numero sull'invito. Non l'e-mail. Un canale che è stato autenticato prima che tutto questo iniziasse.
-
Confermato: tentativo di phishing del calendario
Sarah conferma ciò che Alice già sospettava. Non c'è nessun Marco Reyes all'Halcyon. Non è prevista alcuna revisione del primo trimestre. L'invito è ostile e il collegamento di adesione è una raccolta di credenziali travestita da piattaforma di incontro. Alice rimuove la riunione dal suo calendario in modo da non potervi fare clic per errore in un secondo momento e in modo che il team SOC possa lavorare in uno stato pulito.
-
Apri il portale della sicurezza
La rimozione dell'invito impedisce ad Alice di partecipare. Ciò non impedisce all’aggressore di tentare lo stesso trucco contro il resto dell’azienda. Il passaggio successivo è presentare una segnalazione in modo che il SOC possa bloccare il dominio falsificato presso l'operatore e avvisare gli altri membri del personale prima che qualcuno faccia clic su Iscriviti.
-
Accedi al portale
Alice accede al portale di sicurezza utilizzando le credenziali memorizzate.
-
Archivia il rapporto sull'incidente
Alice invia prima la segnalazione con i dettagli di cui il SOC ha bisogno: l'indirizzo falsificato dell'organizzatore, l'URL di iscrizione sospetto e un breve resoconto di ciò che è accaduto e di come l'ha scoperto.