Saxta Zoom görüşü: əməkdaşların kompüterlərinə gizli nəzarət proqramı quraşdırılır

Tədqiqatçılar Windows ƏS istifadəçilərini hədəfləyən yeni saxta Zoom görüşü kampaniyası barədə xəbərdarlıq ediblər. Məlumata görə, hücum ssenarisi əməkdaşları aldadaraq onları real Zoom video zənginə çox bənzəyən görüş səhifəsinə yönləndirir. İstifadəçi linkə daxil olduqdan qısa müddət sonra ekranda avtomatik “Update Available” (yenilənmə mövcuddur) bildirişi və geri sayım görünür və proses istifadəçidən açıq razılıq almadan zərərli quraşdırıcını endirib işə salır. Bu isə klassik kliklə-yoluxma (clickjacking) modelinin daha inandırıcı bir varianti kimi qiymətləndirilir.

Araşdırmaya əsasən quraşdırılan proqram Teramind adlı kommersiya monitorinq alətinin gizli şəkildə hazırlanmış versiyasıdır. Teramind normalda şirkətlər tərəfindən iş kompüterlərində fəaliyyətə nəzarət məqsədilə istifadə oluna bilər, lakin təhdid aktorunun əlində o, faktiki olaraq cəsusluq alətinə çevrilir. Bu tip monitorinq proqramı klaviatura kliklərini (keystroke) qeyd edə, müəyyən aralıqlarla ekran görüntüləri götürə, hansı saytların ziyarət edildiyini və hansı tətbiqlərin açıldığını izləyə, mübadilə buferi (clipboard) məzmununu ələ keçirə, e-poçt və fayl üzərində əməliyyatları monitorinq edə bilir. Mütəxəssislər əlavə edirlər ki, alət legitim tətbiqə bənzədiyi üçün bəzi mühafizə həlləri bunu normal proqram kimi qiymətləndirə və aşkarlama prosesini çətinləşdirə bilər.

Tədqiqatçılar qeyd edir ki, Zoom iş mühitində geniş istifadə olunduğundan hücumçular üçün əlverişli vasitədir. Əməkdaşlar rəhbərlərdən, həmkarlardan və ya müştərilərdən gələn görüş dəvətlərinə alışdıqları üçün şübhələnmədən linkə keçə bilirlər. Bu kampaniyada qurbanların yönləndirildiyi saxta domenin uswebzoomus[.]com/zoom/ olduğu bildirilir. Görüş linkinə klikl etməzdən əvvəl cəmi bir neçə saniyə ayıraraq keçidin həqiqətən rəsmi zoom.us domeninə aparıb-aparmadığını yoxlamaq ciddi risklərin qarşısını ala bilər. Eyni zamanda, saxta görüş dəvətlərinin həm Gmail, həm də Microsoft Outlook üzərindən yayıla bildiyi, bəzi hallarda isə avtomatik şəkildə təqvimə əlavə olunduğu vurğulanır. Araşdırmalara görə təcili hərəkət tələb edən, “son xəbərdarlıq” kimi emosional təzyiq yaradan mövzu sətirləri və qeyri-adi vaxtda (məsələn, bazar günü) gələn dəvətlər fişinq ehtimalını artıran siqnallardandır.

Təhlükəsizlik üzrə ekspertlər belə hallarda təşkilatların ilk müdafiə xəttinin əməkdaş maarifləndirilməsi olduğunu bildirirlər. Əməkdaşlara gözlənilməz dəvətlərə qarşı daha diqqətli yanaşmaq, tanımadıqları ad və e-poçt ünvanları olan görüşlərə tələsmədən qoşulmamaq, ən əsası isə “görüşə qoşulmaq üçün proqram quraşdırın/yeniləyin” kimi gündəlik iş axınında gözlənilməyən tələb göründükdə onu ayrıca, etibarlı kanallar vasitəsilə yoxlamaq tövsiyə olunur. Mütəxəssislər həmçinin vurğulayır ki, linkə klikdən sonra səhifə yeni bir davranış göstərirsə (məsələn, fayl endirirsə), bu, dərhal şübhəli əlamət kimi qiymətləndirilməli və insident kimi aidiyyəti təhlükəsizlik komandasına bildirilməlidir. Süni intellekt sayəsində fişinq səhifələrinin daha real görünməsi və daha dəqiq hədəflənməsi də riskləri artıran faktorlar sırasında göstərilir.