12 de agosto de 2020
16 de julio de 2020

Zoom soluciona un fallo de seguridad en la personalización de url que permitía lanzar campañas de phishing

Zoom soluciona un fallo de seguridad en la personalización de url que permitía lanzar campañas de phishing
Logo de Zoom. - ZOOM - ARCHIVO

MADRID, 16 Jul. (Portaltic/EP) -

Zoom ha solucionado un fallo de seguridad vinculado con el sistema de personalización de url cuya explotación podía permitir la difusión de campañas de 'phishing' a través de enlaces de apariencia legítima para unirse a una reunión.

La aplicación de videollamadas Zoom cuenta con la opción 'Vanity URL' que permite a las organizaciones personalizar la 'url' con la que invitan a los usuarios a unirse a una videollamada concreta.

El agujero de seguridad, descubierto por investigadores de Check Point, permite a los cibercriminales enviar invitaciones aparentemente inofensivas a diferentes reuniones a través de Zoom con el objetivo de infiltrar 'malware' y robar datos o credenciales de ese usuario.

El fallo de seguridad del 'Vanity URL' se identificó en enero, y desde la compañía de seguridad consideran que los cibercriminales han podido manipular una 'url' a través de enlaces directos como objetivo, por los que el cibercriminal podría cambiar la 'url' de la invitación para incluir un sub-dominio registrado de su elección. Es decir, si el enlace original era 'https://zoom.us/j/##########', el atacante podía cambiarlo a 'https://.zoom.us/j/###########'.

Pero también a través de ataques dirigidos a las interfaces web de Zoom personalizadas. Algunas empresas tienen su propia interfaz web de Zoom para las conferencias. Un cibercriminal podría atacar dicha interfaz e intentar redirigir a un usuario para que introduzca un ID de reunión en la 'url' maliciosa de Vanity, en lugar de la interfaz web de Zoom auténtica.

En ambos casos, como destacan desde la compañía, "sin formación específica en materia de ciberseguridad, es posible que la víctima de esos ataques no pueda reconocer la 'url' maliciosa y sea víctima del ataque".

Con cualquiera de los dos métodos, un atacante podría hacerse pasar por empleado de una empresa a través de Zoom, y de esta forma robar credenciales o información sensible.

Contador

Para leer más


Lo más leído