Kimlik avı aktörleri, hedefleri kimlik avı sayfasına e-posta hesabı kimlik bilgilerini girmeleri için kandırmak için akıllı bir dizi başlatmak için Calendly’yi aktif olarak kötüye kullanıyor.
Calendly, toplantıları ve randevuları planlamak için kullanılan ve genellikle kuruluşlar tarafından yaklaşan etkinlikler için davetiye göndermek için kullanılan Zoom entegrasyonuna sahip çok popüler bir ücretsiz takvim uygulamasıdır.
Bu nedenle, kötü amaçlı bağlantılar göndermek için kullanmak, çoğu kurbanın günlük çalışma geçmişiyle çok iyi uyum sağlar, bu nedenle bu girişimlerin şüphe uyandırması pek olası değildir.
Ayrıca, meşru platformlar tarafından oluşturulan ve gönderilen e-postalar, e-posta güvenlik araçları tarafından genellikle güvenilir olarak kabul edilir, bu nedenle spam klasöründen ziyade hedeflenen gelen kutularına ulaşma eğilimindedirler.
Son olarak, Calendly, yeni kullanıcıların kredi kartı bilgileri veya başka herhangi bir kimlik kanıtı girmeden platforma kaydolmasına izin vererek, kötüye kullanımı kolay bir platform haline getirir.
Raporlarını yayınlamadan önce Bleeping Computer ile paylaşan INKY analistlerinin bildirdiğine göre, Calendly kötüye kullanımının ilk belirtileri Şubat ayının sonlarına doğru başladı.
Calendly’yi kimlik avı saldırıları için kötüye kullanma
Kimlik avı saldırısı, Calendly platformunda oluşturulan ve alıcıya yeni Faks belgeleri aldıklarını bildiren kimlik avı e-postalarıyla başlar.
Bu e-postaları oluşturmak için tehdit aktörleri, kullanıcıların özelleştirilmiş davet e-postaları oluşturmasına olanak tanıyan bir Calendly özelliğini ve etkinlik sayfasına kötü amaçlı bir bağlantı eklemek için “Özel Bağlantı Ekle” işlevini kötüye kullandı.
Bu bağlantı bir “Belgeleri Görüntüle” düğmesine gömülür ve takvim ekranına eklenir, böylece tıklandığında alıcıyı, oturum açma kimlik bilgilerini çalmak için kullanılan gerçek kimlik avı açılış sayfasına götürür.
INKY, bu kimlik avı kampanyasındaki cazibeler ne olursa olsun, açılış sayfasının her zaman belgenin arka planda bulanık olduğu varsayılan bir Microsoft oturum açma formunu taklit ettiğini keşfetti.
İletişim kutusuna girilen herhangi bir kimlik bilgisi doğrudan tehdit aktörlerine gidecek, kurbandan yanlış bir şifre girmesi nedeniyle bunları tekrar girmesi istenecek.
Bu, günümüzde kimlik avı kampanyalarında yaygın bir hiledir, çünkü kullanıcıyı kimlik bilgilerini iki kez girmeye zorlamak, yazım hatası içeren parolaları çalma olasılığını en aza indirir ve hatta bazen iki hesap kimlik bilgilerini ele geçirmeye yardımcı olur.
İkinci denemeden sonra, kurbanın uzlaşmayı gerçekleştirme şansını en aza indirmek için kurban otomatik olarak girdiği e-posta hesabının etki alanına yönlendirilir.
Nelere dikkat etmeli
Kimlik avı aktörlerinin Calendly platformunu ilk kez kötüye kullanmasına rağmen, bu kampanyada kullanılan diğer tüm hileler oldukça standarttır.
Bunlar, bir bilgisayardan gönderilen kötü amaçlı mesajların oluşturulmasını içerir. meşru çevrimiçi hizmetkullanıcıdan bir bulanık belge arka planda, kurbanları zorlayarak kimlik bilgilerini iki kez girinve yeniden yönlendirme sonunda onları güvenilir bir web sitesine yönlendirin.
Bu kampanyadaki iki açık dolandırıcılık işareti, Calendly tarafından barındırılan içeriği ve ne Microsoft ne de Calendly etki alanlarında olmayan kimlik avı sayfasındaki URL’yi görüntülemek için Microsoft SharePoint kimlik bilgilerini kullanma gereksinimidir.
Son olarak, bir şifre yöneticisi kullanmak, tüm bu hileleri aşmanın kolay bir yoludur, özellikle dikkatsiz kullanıcılar için faydalıdır, sanki giriş sayfasındaki URL kasada saklanan URL ile eşleşmiyorsa, kimlik bilgileri doldurulmayacaktır.