Να είστε προσεκτικοί όταν μιλάτε με άτομα που δεν έχετε συναντήσει ποτέ πριν μέσω του συστήματος τηλεδιάσκεψης Zoom. Μπορεί να πετύχετε περισσότερα από όσα περιμένατε. Δύο διευθύνοντες σύμβουλοι έγιναν πρόσφατα στόχος μιας επίθεσης μέσω Zoom. Ο ένας την εντόπισε εγκαίρως – και δυστυχώς, ο άλλος όχι.
Η επίθεση προέρχεται από μια εγκληματική ομάδα που η Συμμαχία Ασφάλειας αποκαλεί ELUSIVE COMET σε μια προειδοποίηση για την απειλή τον περασμένο μήνα. Το ELUSIVE COMET στοχεύει τα θύματά της παρασύροντάς τα σε μια βιντεοκλήση Zoom και στη συνέχεια καταλαμβάνοντας τον υπολογιστή τους για να εγκαταστήσει κακόβουλο λογισμικό, να διεισδύσει στους λογαριασμούς τους και να κλέψει τα περιουσιακά τους στοιχεία.
Η ομάδα συνήθως προσεγγίζει τα θύματα με μια υποτιθέμενη ευκαιρία στα μέσα ενημέρωσης για να τα κινήσει το ενδιαφέρον και στη συνέχεια διοργανώνει μια εισαγωγική κλήση Zoom. Κατά τη διάρκεια αυτής της βιντεοσύσκεψης, ο εισβολέας διατηρεί την οθόνη τους απενεργοποιημένη, αλλά στέλνει ένα αίτημα τηλεχειρισμού στο θύμα.
Ο τηλεχειρισμός είναι μια λειτουργία στην εφαρμογή Zoom που επιτρέπει σε κάποιον άλλο να αναλάβει τον έλεγχο του υπολογιστή σας. Είναι υπέροχο αν, για παράδειγμα, δεν είστε πολύ εξοικειωμένοι με την τεχνολογία και θέλετε το εγγόνι σας να επισκευάσει τον υπολογιστή σας από την άλλη άκρη της χώρας. Είναι λιγότερο καλό αν συμφωνήσετε με ένα αίτημα τηλεχειρισμού από κάποιον που δεν γνωρίζετε – ειδικά αν δεν γνωρίζετε ότι το κάνετε.
Αυτό συμβαίνει στα θύματα κατά τη διάρκεια της δόλιας κλήσης τους από την ELUSIVE COMET. Όταν το αίτημα τηλεχειρισμού φτάσει στο θύμα, η ειδοποίηση αναφέρει “Ο <Συμμετέχων> ζητά τηλεχειρισμό του συστήματός σας” όπου <Συμμετέχων> είναι το όνομα οθόνης του συμμετέχοντα. Σε αυτήν την προσπάθεια κατάληψης, ο εισβολέας αλλάζει το όνομα οθόνης του σε “Zoom” πριν στείλει το αίτημα τηλεχειρισμού, έτσι ώστε να φαίνεται ότι η ίδια η εφαρμογή ζητά έλεγχο.
Μερικοί βιαστικοί ή αφηρημένοι άνθρωποι μπορεί να υποθέσουν ότι αυτό είναι ένα έγκυρο αίτημα από την εφαρμογή, ίσως ως προάγγελος για την ηχογράφηση μιας κλήσης ή την εμφάνιση νέου περιεχομένου. Εάν το θύμα αποδεχτεί, το παιχνίδι τελειώνει και ο εισβολέας μπορεί να αναλάβει τον πλήρη έλεγχο του συστήματος του θύματος.
Κατάληψη Zoom σε δράση
Η ELUSIVE COMET δοκίμασε αυτό το κόλπο στον Διευθύνοντα Σύμβουλο της εταιρείας συμβούλων κυβερνοασφάλειας Trail of Bits, αλλά δεν λειτούργησε σε αυτόν. Αφού έλαβε μια πρόσκληση για να εμφανιστεί στο «Bloomberg Crypto», υποψιάστηκε ότι κάτι δεν πήγαινε καλά.
Οι επιτιθέμενοι τον προσέγγισαν μέσω του δικτύου κοινωνικής δικτύωσης X και αρνήθηκαν να μεταβούν στο email όταν τους ζητήθηκε. Στη συνέχεια, χρησιμοποίησαν ένα σύστημα κρατήσεων τρίτου μέρους που ονομάζεται Calendly για να κανονίσουν την κλήση. Ενώ το Calendly είναι μια νόμιμη υπηρεσία, οι επιτιθέμενοι δεν είχαν επισημάνει τις σελίδες τους στο Calendly με το λογότυπο του Bloomberg, κάτι που ο Διευθύνων Σύμβουλος θεώρησε ύποπτο. Αφού έλεγξε ορισμένα από τα δεδομένα που συλλέχθηκαν για την ομάδα στην συμβουλευτική της Security Alliance, ο Διευθύνων Σύμβουλος συνειδητοποίησε τι συνέβαινε.
Δυστυχώς, αυτό δεν συνέβη για τον Jake Gallen, ο οποίος κατέχει μια εταιρεία κρυπτονομισμάτων που ονομάζεται Emblem Vault. Όπως περιγράφει σε ένα νήμα νεκροψίας στο X νωρίτερα αυτόν τον μήνα, έλαβε επίσης μια πρόσκληση στα μέσα ενημέρωσης από έναν λογαριασμό X, αυτή τη φορά με το όνομα @tacticalinvest_, για να εμφανιστεί σε ένα podcast. Δέχτηκε το δόλωμα.
«Ενώ η συνέντευξη βρισκόταν σε εξέλιξη, ο @tacticalinvest_ κατέβαζε κακόβουλο λογισμικό στον υπολογιστή μου, γνωστό ως goopdate», αναφέρει, «το οποίο ήταν αρκετά ισχυρό για να κλέψει >100.000 δολάρια σε ψηφιακά περιουσιακά στοιχεία από τα πορτοφόλια Bitcoin και Ethereum μου, καθώς και να συνδεθεί στους λογαριασμούς μου στο Twitter, το Gmail και άλλους λογαριασμούς μου».
Ο Gallen έκανε την δέουσα επιμέλεια. Πριν αναλάβει τη συνάντηση, έκανε κάποια έρευνα και διαπίστωσε ότι ο λογαριασμός είχε ένα μεγάλο κοινό, με ιστορικό συνεχών αναρτήσεων και βίντεο. Υπήρχε επίσης ένας λογαριασμός στο YouTube. Αυτό δείχνει πόσο ύπουλοι μπορούν να είναι ορισμένοι από αυτούς τους εισβολείς και πώς ακόμη και οι τεχνολογικά καταρτισμένοι άνθρωποι μπορούν να εξαπατηθούν.
Ενώ μπορεί να μην είστε ιδιοκτήτης επιχείρησης ή influencer που αναζητά προβολή, αξίζει να δώσετε προσοχή σε ποιον αφήνετε να συμμετάσχει σε συναντήσεις Zoom και σε ποιον δίνετε τον έλεγχο της συνάντησης. Ας μην ξεχνάμε επίσης ότι υπάρχει μια συνεχής τάση οι άνθρωποι να «κάνουν Zoombombing» διεισδύοντας στις συναντήσεις άλλων.
Πώς να παραμείνετε ασφαλείς
Μία από τις ευκολότερες προσεγγίσεις είναι να αποφύγετε την εγκατάσταση της εφαρμογής Zoom και απλώς να τη χρησιμοποιείτε στο πρόγραμμα περιήγησης όπου είναι δυνατόν. Η εκτέλεση του Zoom στο πρόγραμμα περιήγησης περιορίζει τη λειτουργικότητά του, συμπεριλαμβανομένης της μη δυνατότητας απομακρυσμένου ελέγχου του συστήματός σας. Το Zoom σάς παρέχει αυτήν την επιλογή όταν επιχειρείτε να συμμετάσχετε σε μια σύσκεψη χωρίς να ανοίξετε την εφαρμογή.
Πηγή: MalwareBytes