Злоумышленники рассылают фальшивые письма с официальной почты Zoom, эксплуатируя особенности работы сервиса, чтобы получить платежные данные пользователей или доступ к администрированию их аккаунтов. По оценкам экспертов, по подобным ссылкам переходит около 20% пользователей.
Мошенники усовершенствовали уже применявшийся ранее сценарий: в письме содержится не только ссылка на фишинговый сайт для раздачи денежных выплат, который пытается получить платежные данные, но и кнопка для перехода на официальный сайт Zoom. После перехода жертвы по ссылке мошенник получает доступ к аккаунту пользователя. Это позволяет ему в том числе подключаться к видеозаписям жертвы, назначать встречи от ее имени и управлять настройками.
Примечательно, что фальшивые письма отправляются с официального адреса сервиса — no-reply@zoom.us. Для этого мошенники используют особенности механизма регистрации в видеосервисе. При заполнении профиля сервис просит указать имя и фамилию, предоставляя возможность вставить до 64 символов в каждое поле, и мошенники вставляют туда свой текст. После регистрации Zoom предлагает клиенту пригласить до десяти новых пользователей, указав их почтовый адрес, чем опять же пользуются мошенники, вводя адреса потенциальных жертв. Тем приходят официальные уведомления от имени сервиса (no-reply@zoom.us), но с содержанием, которое сгенерировано мошенниками.
Эксперты подчеркивают, что мошенники эксплуатируют не уязвимость, а нюансы функционала сервиса. Ответственность в том числе лежит и на пользователях: они не до конца понимают, как работает Zoom, и «читают по диагонали» предупреждение о том, что их аккаунт становится «подчиненным». Это напоминает ловушки, в которые попадались лет десять назад пользователи ВКонтакте, когда выяснялось, что не всю информацию можно скрыть от посторонних глаз, или когда оказалось, что документы Google Docs, открытые доступом по ссылке, индексировались Яндексом. По мнению экспертов, проблема Zoom типична для любого стартапа, который «развивает функционал и не ставит безопасность в приоритет».