Hinweis: Der folgende Artikel hilft Ihnen weiter: Inhaber eines Microsoft-Kontos im Visier des Kalender-App-Betrugs
Microsoft-Benutzer werden von Bedrohungsakteuren, die die Online-Kalender-App Calendly missbrauchen, dazu verleitet, ihre Konten herauszugeben.
Calendly, das dank seiner Integration mit weit verbreitet ist Zoomenist eine völlig kostenlose App, mit der Unternehmen und Verbraucher Veranstaltungen organisieren können.
Phishing – die bei diesem Betrug verwendete Methode – ist zu einem Problem geworden immer häufiger auftretendes Problem für Unternehmen in den USA und darüber hinaus, insbesondere seit der Pandemie.
Microsoft-Konten im Visier
Von Calendly generierte E-Mails sind in keinem Posteingang ein ungewöhnlicher oder verdächtiger Anblick, und diese E-Mails unterscheiden sich auch optisch nicht davon, da sie rechtmäßig von der Calendly-Plattform gesendet werden. Allerdings wird die Möglichkeit, mithilfe der Funktion „Benutzerdefinierten Link hinzufügen“ einen beliebigen Link zu einer Einladungs-E-Mail hinzuzufügen, von Cyberkriminellen missbraucht.
Die böswilligen Benutzer versenden von Calendly generierte E-Mails und behaupten, dass neue Faxdokumente auf den Empfänger warten. Wenn Sie jedoch auf den in einer Schaltfläche „Vorschau der Dokumente“ versteckten Link klicken, wird eine gefälschte Microsoft-Anmeldeseite geöffnet, auf der die Kontoanmeldeinformationen eines Opfers erfasst werden .
In der gefälschten Anmeldebox werden die Opfer sogar aufgefordert, ihr Passwort zweimal einzugeben, mit der Behauptung, sie hätten es ursprünglich falsch eingegeben, nur um den Betrügern Zeit beim Durchsuchen von E-Mails mit Tippfehlern zu ersparen.
Kalender-Apps wie Calendly bleiben oft in vereinzelten Tabs geöffnet und können in andere Apps oder Programme integriert werden, wodurch Angriffe über ihre Plattformen subtiler und überzeugender sind als herkömmliche Phishing-Versuche.
Piepender Computer Berichte dass das Tech-Unternehmen INKY seit Ende Februar solche Phishing-Versuche beobachtet.
Phishing: Alles, was Sie wissen müssen
Alle Phishing-Angriffe zielen darauf ab, ihre Leser dazu zu verleiten, auf etwas Schädliches zu klicken und dann entweder Malware herunterzuladen oder persönliche Kontoinformationen preiszugeben. Zu diesem Zweck geben sich Betrüger als echte Unternehmen aus – in diesem Fall als Microsoft – und nutzen die Legitimität aus, die das Opfer mit ihrer Marke verbindet.
SchmunzelndBeispielsweise handelt es sich um SMS-Phishing, bei dem dieselben Betrugstechniken eingesetzt werden, jedoch über Textnachrichten. Dies wurde während der Pandemie in einer Reihe von Ländern zu einem großen Problem mit Betrügern Vorteil nehmen Dies ist darauf zurückzuführen, dass die durchschnittliche Person mehr SMS-Nachrichten von der Regierung und auch mehr Lieferungen von privaten Unternehmen erhielt.
Vishing ist mittlerweile ebenfalls gängige Praxis – auch hier werden ähnliche Techniken eingesetzt, allerdings entweder über das Telefon oder über eine Voicemail-Nachricht.
Suchmaschinen-Phishing – manchmal auch als Pharming bekannt – erfordert, dass Betrüger die DNS-Caches der Opfer vergiften. DNS – Domain Name System – verbindet die Website-Namen, die wir in Adressleisten eingeben, mit tatsächlichen IP-Adressen und ist für die Datenübertragung zwischen zwei beliebigen Punkten im Internet unerlässlich. Betrüger haben Möglichkeiten gefunden, legitime Website-Namen mit IP-Adressen bösartiger Websites zu verknüpfen, sodass Sie stattdessen dorthin weitergeleitet werden, wenn Sie Opfer dieser komplexen Phishing-Methode werden.
Wie kann ich Unternehmen vor Phishing schützen?
Es ist immer eine gute Idee, es zu haben Antiviren Software installiert – Phishing ist eine häufig verwendete Methode zur Verbreitung von Malware, die auf Ihren Computer gelangen könnte.
Aber die beste Verteidigung gegen Phishing ist Aufklärung – zu wissen, welche Risiken bestehen, ist die halbe Miete. Anschließend können Sie lernen, nach verdächtigen Links oder Anweisungen Ausschau zu halten, und lernen die gängigen Tricks kennen, um zwischen zwielichtigen und nicht zwielichtigen E-Mails, Apps und Telefonanrufen zu unterscheiden.
In den meisten Fällen gibt es verräterische Anzeichen dafür, dass es sich bei einer E-Mail um einen Phishing-Versuch handelt – falsch geschriebene Wörter, veraltete Logos, direkte (und meist unerwartete) Aufforderungen wie „Klicken Sie hier, um Ihr Konto zu speichern“ oder Anschuldigungen wie „Sie schulden Microsoft 5.000 US-Dollar an Abonnements.“ Gebühren“, zum Beispiel. Im Fall des Calendly-Angriffs ist das größte Warnsignal die Anforderung von Microsoft-Anmeldeinformationen, einfach um etwas in Calendly anzuzeigen.
Regelmäßige Schulungen der Mitarbeiter sind wichtig, und einige Unternehmen versenden sogar regelmäßig gefälschte Phishing-E-Mails, um zu prüfen, ob die Mitarbeiter diese kleinen, aber aussagekräftigen Anzeichen wirklich erkennen können.
Phishing hat mit der Diversifizierung der Geschäftskommunikation rasant zugenommen. Egal, ob Sie Zoom, Kalender-Apps oder andere Anwendungen verwenden, behalten Sie den Überblick.
