Check Point y Zoom colaboran para solucionar un fallo de seguridad dentro de Zoom

Los cibercriminales podrían haber manipulado las IDs de reuniones y lanzado campañas de phishing utilizando el error detectado en “Vanity URL” que permite personalizar URLs de Zoom

El proveedor de ciberseguridad a nivel mundial Check point le echó una mano a Zoom  y trabajaron en conjunto desde el mes de enero para corregir esta vulnerabilidad que permitia a los cibercriminales a unirse a una reunión sin haber sido invitados y de esta manera reducir el riesgo del fallo de seguridad en la opción personalizable de Zoom "Vanity URLs".

El uso de Zoom se ha disparado en todo el mundo a causa del Covid-19, pasando de 10 millones de participantes en reuniones diarias en diciembre de 2019 a poco más de 300 millones en abril de 2020 y los ciberdelincuentes están aprovechando este auge y popularidad como gancho para engañar a los usuarios de Zoom y otras plataformas de videoconferencias.

Según Check Point, los registros de dominios relacionados con Zoom y los programas falsos de instalación de Zoom han experimentado un aumento considerablemente.

Los investigadores de Check Point se pusieron las pilas para identificar el problema e identificaron el fallo de seguridad del "Vanity URL" en enero y este fallo muy probablemente que haya sido la vulnerabilidad que haya permitido a los cibercriminales manipular una "Vanity URL" de dos formas:

 

  • Enlaces directos como objetivo: al organizar una reunión, el cibercriminal podría cambiar la URL de la invitación para incluir un sub-dominio registrado de su elección. En otras palabras, si el enlace original era https://zoom.us/j/##########, el atacante podía cambiarlo a https://<nombre de la organización>.zoom.us/j/###########. Sin formación especial en materia de ciberseguridad sobre cómo reconocer la URL apropiada, un usuario que reciba esta invitación puede no llegar a reconocer que no es auténtica o que no procedía de una empresa real.

 

  • Dirigido a las interfaces web de Zoom personalizadas: algunas empresas tienen su propia interfaz web de Zoom para las conferencias. Un cibercriminal podría atacar dicha interfaz e intentar redirigir a un usuario para que introduzca un ID de reunión en la URL maliciosa de Vanity, en lugar de la interfaz web de Zoom auténtica. Al igual que en el caso de los ataques de enlaces directos, sin formación específica en materia de ciberseguridad, es posible que la víctima de esos ataques no pueda reconocer la URL maliciosa y sea víctima del ataque.    

 

Con cualquiera de los dos métodos, un atacante podría hacerse pasar por empleado de una empresa a través de Zoom, y de esta forma robar credenciales o información sensible. 

 

"Debido a que Zoom se ha convertido en uno de los principales canales de comunicación del mundo para empresas, gobiernos y consumidores, es fundamental que se impida a los cibercriminales explotar este servicio con fines delictivos. Trabajando conjuntamente con el equipo de seguridad de Zoom, hemos ayudado a proporcionar a los usuarios de todo el mundo una experiencia más segura, sencilla y fiable para que puedan aprovechar al máximo las ventajas del servicio", destacó Robyn Westervelt, director de IDC’s Research, Security & Trust.

 

Check Point Research y Zoom han trabajado juntos para resolver dichos fallos de seguridad. Zoom ha resuelto el problema y ha puesto en marcha garantías adicionales para la protección de los usuarios. "Este fue un esfuerzo conjunto entre Check Point y Zoom. Juntos, hemos tomado importantes medidas para proteger a los usuarios de Zoom en todas partes", dijo Robyn Westervelt.

 

 

Por favor sé precavido en los enlaces a los que entras, la ciberseguridad es un tema del que todos debemos de estar informados, el hecho de estar navegando desde casa no significa que no estés en peligro de ser victima de un delito cibernético. 



Se busca (de nuevo)

Seguimos creciendo en Screen y cada vez más estamos aproximándonos al equipo de ensueño. Ahora, buscamos crear nuevos proyectos, expandirnos y conquistar el mundo encontrar a la chica ideal.


Leer más...
Screen te está Buscando
More... more...

No necesitas ser un profesional o escribir como un premio Nobel de literatura, puedes tener errores (nosotros te ...

Leer más...

Tecnología