🧑🏽‍🤝‍🧑🏻 🏳️‍🌈 👩🏾‍🌾 Hameçonnage avec une fausse invitation à une réunion 🕢 🕴🏻 🤨

Vous êtes-vous déjà demandé comment fonctionnent les invitations à des réunions dans Microsoft Teams et Google Meet ? Récemment, je travaillais sur un problème d'ingénierie sociale, et une pensée aléatoire m'est venue : comment fonctionnent réellement les invitations à des réunions, peuvent-elles être utilisées d'une manière ou d'une autre dans des stratagèmes frauduleux ?

Oui, une telle pensée a déjà été discutée auparavant, et cette méthode a déjà été utilisée. Mais personne n'a jamais expliqué comment cela fonctionne. Je n'ai pas été en mesure de trouver un seul blog qui décrit techniquement cette attaque. J'ai donc décidé de m'y plonger moi-même, afin de le dire en langage humain à tous ceux qui s'intéressent aux tests d'intrusion et aux problèmes de sécurité en général.

Qu'est-ce que je voulais faire dans cette attaque ?

Envoyez une fausse invitation à une réunion, créant un sentiment d'urgence afin que la victime n'essaye pas de comprendre le problème, mais suive simplement mon lien demandant des informations d'identification.

La création de rendez-vous (dans Outlook) fonctionne généralement comme ceci :

cliquez sur le bouton Nouveau rendez-vous, qui ouvrira une page avec des champs d'e-mail, un modèle d'équipe pré-rempli et une URL de réunion
définir le nom de la réunion et spécifier les participants
«», , .

Créer un rendez-vous dans Outlook — Outlook

Voici à quoi ressemble une invitation à une réunion

?

, iCalendar. , iCalendar, email . , protonmail.

iCalendar?

« iCalendar (, , , / ). iCalendar ; , . .ics»

iCalendar Outlook, Google, Yahoo, Apple . Outlook.

iCalendar . protonmail, .

BEGIN:VCALENDAR
METHOD:REQUEST
PRODID:Microsoft Exchange Server 2010
VERSION:2.0
BEGIN:VTIMEZONE
TZID:GTB Standard Time
BEGIN:STANDARD
DTSTART:16010101T040000
TZOFFSETFROM:+0300
TZOFFSETTO:+0200
RRULE:FREQ=YEARLY;INTERVAL=1;BYDAY=-1SU;BYMONTH=10
END:STANDARD
BEGIN:DAYLIGHT
DTSTART:16010101T030000
TZOFFSETFROM:+0200
TZOFFSETTO:+0300
RRULE:FREQ=YEARLY;INTERVAL=1;BYDAY=-1SU;BYMONTH=3
END:DAYLIGHT
END:VTIMEZONE
BEGIN:VEVENT
ORGANIZER;CN=ExAndroid Developer:mailto:<redacted>@outlook.com
ATTENDEE;ROLE=REQ-PARTICIPANT;PARTSTAT=NEEDS-ACTION;RSVP=TRUE;CN=<redacted>@protonmail.com:mailto:<redacted>@protonmail.com
DESCRIPTION;LANGUAGE=en-US:<stripped>\n\n
UID:040000008200E00074C5B7101A82E00800000000508CC0468E28D701000000000000000
 01000000096DF011F20A29943A70B5DA5047021A5
SUMMARY;LANGUAGE=en-US:Test meeting
DTSTART;TZID=GTB Standard Time:20210403T000000
DTEND;TZID=GTB Standard Time:20210404T000000
CLASS:PUBLIC
PRIORITY:5
DTSTAMP:20210403T103619Z
TRANSP:OPAQUE
STATUS:CONFIRMED
SEQUENCE:0
LOCATION;LANGUAGE=en-US:Microsoft Teams Meeting
X-MICROSOFT-CDO-APPT-SEQUENCE:0
X-MICROSOFT-CDO-OWNERAPPTID:-570210331
X-MICROSOFT-CDO-BUSYSTATUS:TENTATIVE
X-MICROSOFT-CDO-INTENDEDSTATUS:BUSY
X-MICROSOFT-CDO-ALLDAYEVENT:FALSE
X-MICROSOFT-CDO-IMPORTANCE:1
X-MICROSOFT-CDO-INSTTYPE:0
X-MICROSOFT-SKYPETEAMSMEETINGURL:https://teams.microsoft.com/l/meetup-join/
 19%3ameeting_YmM1MjRmMTktYjA2N<stripped>cd8%22%7d
X-MICROSOFT-SCHEDULINGSERVICEUPDATEURL:https://api.scheduler.teams.microsof
 t.com/teams/dc<stripped>DAyMmZj@thread.v2/0
X-MICROSOFT-SKYPETEAMSPROPERTIES:{"cid":"19:meeting_YmM1MjRmMTktYjA2Ny00YWQ
 4LWI1NWEtZmE1NGVlMDAyMmZj@thread.v2"\,"private":true\,"type":0\,"mid":0\,"
 rid":0\,"uid":null}
X-MICROSOFT-ONLINEMEETINGCONFLINK:conf:sip:<redacted>\;gruu\;opaque=
 app:conf:focus:id:teams:2:0!19:meeting_YmM1MjRmMTktYjA2Ny00YWQ4LWI1NWEtZmE
 1NGVlMDAyMmZj-thread.v2!56474ffc245241c5ab4081a127cc1cd8!dcf23acb18fc41d28
 6acf752f1ca658d
X-MICROSOFT-DONOTFORWARDMEETING:FALSE
X-MICROSOFT-DISALLOW-COUNTER:FALSE
X-MICROSOFT-LOCATIONS:[ { "DisplayName" : "Microsoft Teams Meeting"\, "Loca
 tionAnnotation" : ""\, "LocationSource" : 0\, "Unresolved" : false\, "Loca
 tionUri" : "" } ]
BEGIN:VALARM
DESCRIPTION:REMINDER
TRIGGER;RELATED=START:-PT15M
ACTION:DISPLAY
END:VALARM
END:VEVENT
END:VCALENDAR