Безпека у Zoom. 5 схем шахрайства

Хакери проникли в Zoom. вивчило 5 основних схем і розібралося, до чого може призвести використання застосунку

Фото: Taskin Ashiq / Unsplash

Перехід більшості країн у режим карантину через пандемію COVID-19 змусило людей кардинально змінити спосіб життя і почати використовувати відеосервіси для розмов з колегами, рідними та друзями. Найпопулярнішим подібним застосунком став Zoom, який у березні налічував 200 млн користувачів, хоча двома місяцями раніше їх було лише 10 млн. Проте сервіс виявився не найбезпечнішим, а такі компанії, як SpaceX і NASA, заборонили співробітникам користуватися застосунком, оскільки працюють з проєктами, пов'язаними з національною безпекою.

Zoom має уразливості: конфіденційність розмов тут під питанням. Приміром, якщо ви не захистили конференцію паролем, то туди легко можуть потрапити хакери — достатньо лише знати ідентифікатор. Таке явище вже отримало назву — Zoom bombing. Крім того, шахраї створюють замасковані під Zoom сайти і шкідливі програми для крадіжки особистих даних. зібрало найпоширеніші схеми шахрайства у застосунку.

• Публікація відео на YouTube і Vimeo

4 квітня стало відомо про те, що кілька тисяч особистих відеоконференцій, зроблених у Zoom, опублікували на YouTube і Vimeo, пише The Washington Post. У мережу потрапили записи консультацій з лікарями, сеансів психотерапії, шкільні уроки, інтимні розмови, а також наради компаній, де обговорювалася фінансова звітність.

За замовчуванням Zoom не записує розмови. Однак організатори конференцій можуть включити запис і зберігати його в застосунку або на своїх персональних комп'ютерах без згоди інших учасників. Останнім при цьому приходить повідомлення про початок запису. За даними видання, записи конференцій зберігалися за допомогою сервісу Zoom і перебували в онлайн-сховищі без використання паролів.

• Витік даних у Facebook

Наприкінці березня видання Motherboard писало, що застосунок Zoom для iOS відправляє аналітичні дані в Facebook, не попереджаючипро це користувачів застосунку. Робить воно це навіть у разі, якщо користувач не має облікового запису в соціальній мережі. У підсумку на сервіс уже подали позов до федерального суду Сан-Хосе. Після чого розробники Zoom випустили оновлення для iOS-версії, яке повинно було виправити цю уразливість.

• Завантаження шкідливого ПО

Компанія Check Point Software Technologies, що працює в сфері IT-безпеки, у своєму нещодавньому дослідженні виявила, що з моменту початку пандемії коронавірусу було зареєстровано 1,7 тисячі доменів зі словом Zoom, причому 25% із них — за останній тиждень березня. Більшість з доменів компанія вважає «підозрілими». Крім того, Check Point Research виявила і шкідливі файли, які містять слово Zoom у назві. У разі якщо користувач запустить їх на своєму комп'ютері, він автоматично завантажить застосунок PUA InstallCore, який зі свого боку встановить інші шкідливі програми.

• Проникнення у конференції

У середині березня стало відомо, що шахраям вдалося проникнути в неназвану конференцію в Zoom без відома організаторів і вивести на екрани образливі та порнографічні матеріали. Про це пише газета The New York Times. Відомі також випадки, коли хакери залишали в конференціях расистські матеріали. Утім, за даними ЗМІ, шахраї при цьому не мали доступу до комп'ютерів і телефонів користувачів.

• Витік особистих даних

Застосунок також має можливість автоматично додавати користувачів у контакти один одного, розкриваючи їхні особисті дані, а саме адреси електронної пошти, імена, прізвища, фотографії та інше. Як зазначає видання Vice, першими витік даних помітили жителі Нідерландів, які користуються поштою від місцевих провайдерів. Даний факт перевірили і «Відомості». Виявилося, що після реєстрації в Zoom через пошту @yandex.kz (Казахстан) і @yandex.by (Білорусь) і входу в систему відкрилися дані майже тисячі інших користувачів з такими ж доменами. Видання пише, що сервіс не має загальнодоступного каталогу користувачів, проте об'єднує в «каталог компанії» користувачів корпоративної пошти. При цьому будь-яку нестандартну адресу Zoom сприймає як корпоративну.