Шахрайство із запрошеннями в календарі

Що таке Шахрайство із запрошеннями в календарі?

Фішинг запрошень у календарі став високопродуктивним каналом для збору облікових даних, оскільки він обходить два елементи керування, які користувачі вважають захищеними. Перший — це шлюз безпеки електронної пошти: багато протоколів календаря доставляють запрошення через окремий канал, який шлюз ніколи не перевіряє, тому будь-яка зловмисна URL-адреса приєднання в запрошенні надходить несканованою. По-друге, людська обережність: подія у вашому календарі здається заздалегідь перевіреною, особливо коли корпоративна політика автоматичного прийняття розміщує зовнішні запрошення на день автоматично, навіть не просячи вас подивитися на відправника. Зловмисники використовують обидва прогалини за допомогою відшліфованого файлу ICS із однолітерного схожого домену справжнього постачальника, короткого нагадування в останню хвилину, приуроченого до короткого замикання, і посилання для приєднання, яке потрапляє на сторінку збору облікових даних, оформлену так, щоб виглядати як законна платформа для зустрічей. Єдиним найнадійнішим захистом є процедурний, а не перцепційний: прочитайте фактичну адресу електронної пошти організатора, а не відображуване ім’я, перевірте URL-адресу приєднання на реальні домени платформи для наради (zoom.us, teams.microsoft.com або ваша власна корпоративна платформа) і підтвердьте нараду за номером, якому ви вже довіряєте, перш ніж натиснути «Приєднатися». У цій симуляції ви — Аліса, аналітик відповідності постачальників у CypherPeak Technologies. Огляд відповідності постачальника за 1 квартал від знайомого партнера з’являється у вашому календарі через автоматичне прийняття з п’ятихвилинним нагадуванням і посиланням для приєднання, яке вказує на незнайомий домен зустрічі через HTTP. Ви перевірите адресу організатора, виявите схожий домен, здійсните зовнішній зворотний дзвінок вашому справжньому контакту постачальника, видалите ворожу подію, увійдете на портал безпеки, щоб подати структурований звіт про інцидент, переглянете брифінг команди SOC щодо підтвердження та виявлення та ознайомитесь із звичками перевірки, які має прийняти решта вашої команди. Ця вправа демонструє, чому впізнаване відображуване ім’я нічого не доводить про відправника, чому будь-яка платформа зустрічі, яка запитує ваш корпоративний пароль, є збором облікових даних, а не зустріччю, і чому подання швидкого звіту про невдале збіг — це те, що перетворює одне відхилене запрошення на блокування для всієї компанії на шлюзі електронної пошти та DNS-розподілі.

Що ви дізнаєтесь у Шахрайство із запрошеннями в календарі

• Дізнайтеся, як політики автоматичного прийняття календаря обходять шлюз безпеки електронної пошти, доставляючи запрошення через протокол, який шлюз не перевіряє
• Прочитайте фактичну адресу електронної пошти організатора, а не відображуване ім’я, щоб виявити однолітерні або різні домени верхнього рівня, схожі на справжні домени постачальників
• Перевіряйте URL-адресу приєднання для кожного запрошення та відмовляйтеся вводити облікові дані в будь-якому домені, який не є відомою платформою зустрічі (zoom.us, teams.microsoft.com або ваша власна корпоративна платформа)
• Розглядайте стислі терміни в останню хвилину та вимоги негайного приєднання як тиск соціальної інженерії, спрямований на коротке замикання перевірки
• Перевіряйте підозрілі запрошення на нараду за номером телефону, у чаті чи записі в каталозі, який було автентифіковано до надходження підозрілого запиту – ніколи контактну інформацію в запрошенні
• Видаліть підтверджені ворожі події календаря, щоб посилання для приєднання не можна було натиснути помилково пізніше, і щоб команда SOC мала чистий стан для роботи
• Надішліть структурований звіт про інцидент із зафіксованою підробленою адресою організатора, фальшивою URL-адресою приєднання та розповіддю про виявлення, щоб SOC міг блокувати шлюз електронної пошти та розпізнавач DNS і шукати паралельні спроби

Шахрайство із запрошеннями в календарі — Кроки навчання

1. Тихий вівторок вдома

   Сьогодні тихий ранок вівторка. Аліса закінчує свої картки показників постачальника за столом в домашньому офісі. Її звичайний щоквартальний партнер з комплаєнсу, Halcyon Insurance Group, не повинен пройти перевірку до квітня, тому цей день здається рутинним.

2. Несподіване нагадування

   На панелі завдань з’являється нагадування про зустріч: Перевірка відповідності постачальника за 1 квартал – починається через 5 хвилин . Веде хтось на ім’я Марко Рейес із Halcyon Insurance Group. Аліса ніколи не прийняла це запрошення – воно було додано до її календаря автоматично відповідно до корпоративної політики.

3. Огляньте зустріч

   Перевірка відповідності постачальника вимогам за 1 квартал є прямо тут, на сьогоднішньому порядку денному, позначена як Зовнішній і Автоматично прийнятий . Кнопка «Приєднатися до зустрічі» доступна в один клік.

4. Пауза перед клацанням

   На годиннику 2:27. У нагадуванні сказано, що зустріч починається через три хвилини. Аліса інстинктивно натискає «Приєднатися до зустрічі» — календар уже прийняв це, ім’я організатора збігається з реальним партнером, і запит виглядає звичним. Але запис у календарі – це не те саме, що підтверджене запрошення. Перш ніж натиснути «Приєднатися», який крок є найбезпечнішим?

5. Прочитайте адресу та посилання

   Аліса уповільнює темп і читає частини запрошення, які вона зазвичай пропускає – електронну адресу організатора та URL-адресу для приєднання. Відображувані імена є прикрасою. Адреса правда.

6. Перевірте у постачальника

   Аліса бере свій телефон і дзвонить Сарі Донован, своєму звичному контакту в Halcyon, за номером, який вона зберігала протягом двох років. Не той номер у запрошенні. Не електронна пошта. Канал, який було автентифіковано до того, як усе це почалося.

7. Підтверджено: спроба фішингу календаря

   Сара підтверджує те, про що Аліса вже підозрювала. У Halcyon немає Марко Рейєса. Огляд на 1 квартал не заплановано. Запрошення є ворожим, а посилання для приєднання – це збір облікових даних, який виглядає як платформа для зустрічі. Аліса видаляє зустріч зі свого календаря, щоб вона не могла помилково клацнути її пізніше, і тому команда SOC має чистий стан для роботи.

8. Відкрийте портал безпеки

   Якщо видалити запрошення, Аліса не зможе приєднатися. Це не заважає зловмиснику спробувати той самий трюк на решті компанії. Наступним кроком є ​​подання звіту, щоб SOC могла заблокувати підроблений домен у оператора та попередити інших співробітників, перш ніж хтось натисне «Приєднатися».

9. Увійдіть на портал

   Аліса входить на портал безпеки, використовуючи збережені облікові дані.

10. Надішліть звіт про інцидент

    Аліса подає звіт із деталями, які спочатку потрібні SOC: підробленою адресою організатора, підозрілою URL-адресою приєднання та короткою розповіддю про те, що сталося та як вона це помітила.