Oplichting met agenda-uitnodigingen

Wat is Oplichting met agenda-uitnodigingen?

Phishing met agenda-uitnodigingen is uitgegroeid tot een kanaal met hoge opbrengst voor het verzamelen van inloggegevens, omdat het twee van de controlemechanismen omzeilt waarvan gebruikers aannemen dat ze deze beschermen. De eerste is de e-mailbeveiligingsgateway: veel agendaprotocollen bezorgen uitnodigingen via een apart kanaal dat de gateway nooit inspecteert, zodat elke kwaadaardige deelname-URL in de uitnodiging ongescand aankomt. De tweede is menselijke voorzichtigheid: een gebeurtenis die in uw agenda staat, voelt als vooraf gecontroleerd, vooral wanneer het automatische acceptatiebeleid van het bedrijf externe uitnodigingen automatisch op de dag plaatst zonder u ooit te vragen naar de afzender te kijken. Aanvallers benutten beide hiaten met een gepolijst ICS-bestand dat in één letter lijkt op een echt leveranciersdomein, een strakke last-minute herinnering getimed voor kortsluitingsverificatie, en een deelnamelink die terechtkomt op een pagina voor het verzamelen van inloggegevens die is vormgegeven om eruit te zien als een legitiem vergaderplatform. De meest betrouwbare verdediging is eerder procedureel dan perceptueel: lees het eigenlijke e-mailadres van de organisator in plaats van de weergavenaam, controleer de deelname-URL aan de hand van de echte domeinen van het vergaderplatform (zoom.us, teams.microsoft.com of uw eigen bedrijfsplatform) en bevestig de vergadering buiten de band op een nummer dat u al vertrouwt voordat u op Deelnemen klikt. In deze simulatie ben jij Alice, een Vendor Compliance Analyst bij CypherPeak Technologies. Een Q1 Vendor Compliance Review van een bekende partner verschijnt in uw agenda via automatische acceptatie, met een herinnering van vijf minuten en een deelnamelink die via HTTP naar een onbekend vergaderdomein verwijst. U inspecteert het adres van de organisator, herkent het lookalike-domein, plaatst een out-of-band callback naar uw echte contactpersoon bij de leverancier, verwijdert de vijandige gebeurtenis, meldt u aan bij het beveiligingsportaal om een ​​gestructureerd incidentrapport in te dienen, bekijkt de bevestiging en detectiebriefing van het SOC-team en doorloopt de verificatiegewoonten die de rest van uw team moet aannemen. De oefening laat zien waarom een ​​herkenbare weergavenaam niets bewijst over de afzender, waarom elk vergaderplatform dat om uw bedrijfswachtwoord vraagt ​​een inloggegevensverzameling is in plaats van een vergadering, en waarom het indienen van een snel rapport over een bijna-ongeluk ervoor zorgt dat een enkele afgewezen uitnodiging verandert in een bedrijfsbrede blokkering bij de e-mailgateway en de DNS-resolver.

Wat je leert in Oplichting met agenda-uitnodigingen

• Ontdek hoe het beleid voor automatisch accepteren van agenda's de e-mailbeveiligingsgateway omzeilt door uitnodigingen af te leveren via een protocol dat de gateway niet inspecteert
• Lees het daadwerkelijke e-mailadres van de organisator in plaats van de weergavenaam om lookalikes van één letter of verschillende TLD's van echte leveranciersdomeinen te ontdekken
• Inspecteer de deelname-URL op elke uitnodiging en weiger inloggegevens in te voeren op domeinen die geen bekend vergaderplatform zijn (zoom.us, teams.microsoft.com of uw eigen bedrijfsplatform)
• Beschouw strakke last-minute timing en eisen voor onmiddellijke deelname als social engineering-druk die bedoeld is om de verificatie te kortsluiten
• Verifieer verdachte uitnodigingen voor vergaderingen buiten de band op een telefoonnummer, chat of telefoonlijstvermelding die is geverifieerd voordat het verdachte verzoek arriveerde - nooit de contactgegevens in de uitnodiging
• Verwijder bevestigde vijandige agenda-afspraken, zodat er later niet per ongeluk op de deelnamelink kan worden geklikt en het SOC-team een schone status heeft om vanuit te werken
• Dien een gestructureerd incidentrapport in waarin het vervalste organisatoradres, de nep-join-URL en het detectieverhaal worden vastgelegd, zodat het SOC kan blokkeren bij de e-mailgateway en DNS-resolver en kan zoeken naar parallelle pogingen

Oplichting met agenda-uitnodigingen — Trainingsstappen

1. Een rustige dinsdag thuis

   Het is een rustige dinsdagochtend. Alice werkt haar leveranciersscorekaarten af ​​vanaf haar bureau aan huis. Haar gebruikelijke driemaandelijkse compliancepartner, Halcyon Insurance Group, moet pas in april worden beoordeeld, dus de dag voelt routinematig aan.

2. Een onverwachte herinnering

   Er verschijnt een herinnering voor een vergadering uit het systeemvak: Q1 Vendor Compliance Review - start over 5 minuten . Gehost door iemand genaamd Marco Reyes van Halcyon Insurance Group. Alice heeft deze uitnodiging nooit geaccepteerd; deze werd op grond van het bedrijfsbeleid automatisch aan haar agenda toegevoegd.

3. Inspecteer de bijeenkomst

   De Vendor Compliance Review in het eerste kwartaal staat op de agenda van vandaag, gemarkeerd als Extern en Automatisch geaccepteerd . De knop Deelnemen aan de vergadering is slechts één klik verwijderd.

4. Pauzeer vóór de klik

   De klok staat op 2:27. In de herinnering staat dat de vergadering over drie minuten begint. Het instinct van Alice is om op Deelnemen aan vergadering te klikken: de agenda heeft dit al geaccepteerd, de naam van de organisator komt overeen met een echte partner en het verzoek ziet er routinematig uit. Maar een agenda-item is niet hetzelfde als een geverifieerde uitnodiging. Wat is de veiligste zet voordat u op Deelnemen klikt?

5. Lees het adres en de link

   Alice doet langzamer en leest de delen van de uitnodiging die ze gewoonlijk overslaat: het e-mailadres van de organisator en de deelname-URL. Weergavenamen zijn decoratie. Het adres is de waarheid.

6. Verifieer bij de leverancier

   Alice pakt haar telefoon en belt Sarah Donovan, haar gebruikelijke contactpersoon bij Halcyon, op het toestelnummer dat ze al twee jaar heeft gespaard. Niet het nummer op de uitnodiging. Niet de e-mail. Een kanaal dat werd geverifieerd voordat dit allemaal begon.

7. Bevestigd: een poging tot agendaphishing

   Sarah bevestigt wat Alice al vermoedde. Er is geen Marco Reyes bij Halcyon. Er is geen Q1-evaluatie gepland. De uitnodiging is vijandig en de deelnamelink is een verzameling van inloggegevens, verkleed als vergaderplatform. Alice verwijdert de vergadering uit haar agenda, zodat ze er later niet per ongeluk op kan klikken, en het SOC-team een ​​schone status heeft om vanuit te werken.

8. Open het beveiligingsportaal

   Als u de uitnodiging verwijdert, kan Alice niet meer meedoen. Het weerhoudt de aanvaller er niet van om dezelfde truc uit te proberen bij de rest van het bedrijf. De volgende stap is het indienen van een rapport, zodat SOC het vervalste domein bij de provider kan blokkeren en ander personeel kan waarschuwen voordat iemand op Lid worden klikt.

9. Meld u aan bij het portaal

   Alice logt in bij het beveiligingsportaal met haar opgeslagen inloggegevens.

10. Dien het incidentrapport in

    Alice archiveert het rapport met de gegevens die SOC eerst nodig heeft: het vervalste adres van de organisator, de verdachte deelname-URL en een kort verhaal over wat er is gebeurd en hoe ze het heeft ontdekt.