Инфраструктурата на Zoom е злоупотребена в нова TOAD фишинг кампания, заобикаляща имейл защитите
Наскоро наблюдавана фишинг кампания показва как атакуващите все по-често злоупотребяват с легитимна SaaS инфраструктура, за да заобиколят традиционните механизми за имейл защита. Кампанията използва собствените имейли за удостоверяване на Zoom като част от техника тип Telephone-Oriented Attack Delivery (TOAD), което позволява доставянето на социално-инженерни съобщения до жертвите чрез напълно автентифицирани писма.
За разлика от класическите фишинг атаки, които разчитат на фалшиви домейни или зловредни линкове, тази атака използва официалните имейл системи на Zoom. В резултат съобщенията преминават успешно SPF, DKIM и DMARC проверки и заобикалят Secure Email Gateway решенията, които се доверяват на проверени податели.
Как работи атаката
Веригата на атаката е проста, тиха и ефективна:
Създаване на акаунт
Атакуващият регистрира напълно легитимен Zoom акаунт, използвайки имейл адрес, който контролира.
Поставяне на payload в display name
Вместо нормално име на акаунта, атакуващият въвежда измамно съобщение в полето Display Name, например фалшиво предупреждение за плащане, комбинирано с телефонен номер.
Задействане на легитимен OTP имейл
Стандартен опит за вход в Zoom акаунта задейства официален One-Time Password (OTP) имейл от инфраструктурата на Zoom.
Доставка на фишинга
Жертвата получава автентичен имейл от Zoom, в който display name-ът се визуализира като част от тялото на съобщението, разкривайки социално-инженерното послание.
Няма зловредни линкове. Няма прикачени файлове. Няма spoofing. Самият имейл е технически чист. Payload-ът съществува изцяло в рамките на доверено съдържание.
Защо традиционните контроли се провалят
Тази кампания подчертава нарастваща „сляпа зона“ в имейл сигурността:
имейлът идва от доверен домейн
заглавките за удостоверяване са валидни
няма зловреден URL или изпълним код
съобщението разчита изцяло на контекстуална манипулация
Тъй като повечето контроли се фокусират върху това кой е изпратил съобщението, а не какво се опитва да накара потребителя да направи, подобни атаки често преминават през автоматизираните защити.
Това е класически пример за злоупотреба тип living-off-the-land, при която атакуващите използват стандартни функционалности на платформи, вместо да експлоатират софтуерни уязвимости.
Защо това има значение
Тази техника подкопава един от най-силните сигнали за доверие, на които разчитат потребителите – проверения подател. Когато хората видят имейл, който действително идва от Zoom, тяхната предпазливост намалява. Атакуващите използват това доверие, за да насочат жертвите към спешни, телефонно-базирани социално-инженерни сценарии.
Атаката илюстрира и по-широка тенденция. Съвременният фишинг не винаги изисква зловреден код, фалшиви домейни или техническа експлоатация. В много случаи легитимните системи работят точно както са проектирани, но се използват по начини, за които защитните механизми не са създадени да разпознават.
DIAMATIX Perspective
От защитна гледна точка тази кампания подчертава необходимостта от ключова промяна. Имейл сигурността вече не може да разчита единствено на репутацията на подателя и проверки за автентичност.
Екипите по сигурността следва да:
третират проверените SaaS имейли като потенциални повърхности за атака, а не като автоматични източници на доверие
разширят детекцията на фишинг, така че да включва анализ на намерението в съдържанието, а не само технически индикатори за компрометиране
обучават потребителите да поставят под въпрос спешността и несъответствията между услуги (например Zoom имейл, който твърди за PayPal активност)
преразгледат playbook-ите за ескалация при TOAD атаки, при които липсват традиционни технически индикатори
С нарастващата злоупотреба с доверени платформи, детекцията трябва да еволюира от проверка на инфраструктурата към разбиране на намерението на атакуващия.
Trusted · Innovative · Vigilant
Източници
Prophet Security. Технически анализ на TOAD фишинг кампания, злоупотребяваща с инфраструктурата на Zoom
Zoom. Официална документация и наблюдавано поведение на имейлите за удостоверяване и визуализацията на полето „Display Name“
Индустриални изследвания и доклади за TOAD (Telephone-Oriented Attack Delivery) техники и living-off-the-land фишинг кампании
Получавайте актуални новини и експертни анализи за киберсигурност
