Les acteurs de l’hameçonnage abusent activement de Calendly pour lancer une séquence intelligente pour inciter les cibles à saisir les informations d’identification de leur compte de messagerie sur la page d’hameçonnage.
Calendly est une application de calendrier gratuite très populaire avec intégration Zoom, utilisée pour planifier des réunions et des rendez-vous, et est couramment utilisée par les organisations pour envoyer des invitations pour les événements à venir.
En tant que tel, l’utiliser pour envoyer des liens malveillants se marie très bien avec le travail quotidien de la plupart des victimes, il est donc peu probable que ces tentatives éveillent des soupçons.
De plus, les e-mails générés et envoyés par des plates-formes légitimes sont généralement considérés comme dignes de confiance par les outils de sécurité des e-mails, ils ont donc tendance à atteindre les boîtes de réception ciblées plutôt que le dossier spam.
Enfin, Calendly permet aux nouveaux utilisateurs de s’inscrire sur la plateforme sans saisir les informations de carte de crédit ou toute autre preuve d’identification, ce qui en fait une plateforme facile à abuser.
Les premiers signes d’abus de Calendly ont commencé vers la fin du mois de février, comme l’ont rapporté les analystes d’INKY, qui ont partagé leur rapport avec EZpublish-france.fr avant sa publication.
Abus de Calendly pour des attaques de phishing
L’attaque de phishing commence par des e-mails de phishing générés sur la plate-forme Calendly qui informent le destinataire qu’ils ont reçu de nouveaux documents Fax.
Pour créer ces e-mails, les acteurs de la menace ont abusé d’une fonctionnalité Calendly qui permet aux utilisateurs de créer des e-mails d’invitation personnalisés et d’une fonction « Ajouter un lien personnalisé » pour insérer un lien malveillant sur la page de l’événement.
Ce lien est intégré sur un bouton « Afficher les documents » et injecté dans l’écran du calendrier, donc s’il est cliqué, il amène le destinataire à la page de destination de phishing utilisée pour voler les identifiants de connexion.
INKY a découvert que quels que soient les leurres de cette campagne de phishing, la page de destination imitait toujours un formulaire de connexion Microsoft avec le document censé être flou en arrière-plan.
Toutes les informations d’identification saisies dans la boîte de dialogue iront directement aux acteurs de la menace, tandis que la victime sera invitée à les saisir à nouveau en raison de la prétendue saisie d’un mot de passe erroné.
Il s’agit d’une astuce répandue dans les campagnes de phishing aujourd’hui, car forcer l’utilisateur à saisir deux fois ses informations d’identification minimise les risques de vol de mots de passe avec des fautes de frappe et aide parfois même à arracher deux informations d’identification de compte.
Après la deuxième tentative, la victime est automatiquement redirigée vers le domaine du compte de messagerie qu’elle a saisi pour minimiser les chances que la victime réalise le compromis.
À quoi faire attention
Bien que ce soit la première fois que des acteurs de phishing abusent de la plate-forme Calendly, toutes les autres astuces utilisées dans cette campagne sont assez courantes.
Il s’agit notamment de générer des messages malveillants envoyés à partir d’un service en ligne légitime, de demander à l’utilisateur de se connecter pour afficher un document flou en arrière-plan, d’obliger les victimes à saisir deux fois leurs informations d’identification et de les rediriger vers un site Web digne de confiance à la fin.
Deux signes évidents de fraude dans cette campagne sont l’obligation d’utiliser les informations d’identification Microsoft SharePoint pour afficher le contenu hébergé par Calendly et l’URL sur la page de phishing, qui n’est ni sur les domaines Microsoft ni sur les domaines Calendly.
Enfin, utiliser un gestionnaire de mots de passe est un moyen simple de contourner toutes ces astuces, particulièrement bénéfiques pour les utilisateurs négligents, car si l’URL sur la page de connexion ne correspond pas à celle stockée dans le coffre-fort, les informations d’identification ne seront pas remplies.