目录导航
一种新技术,展示了攻击者如何创建带有欺骗性参与者的日历邀请。
介绍
众所周知,黑客以前曾在网络钓鱼活动中使用过 .ics 文件。如果您不知道这一点,那么我建议您查看以下资源:
阅读这些后,我们可以清楚地看到 .ics 文件可能非常危险。但最近在测试 Google 日历时,我发现 .ics 文件可能会以一种据我所知以前从未使用过的方式被滥用。此技术允许您创建一个带有欺骗性组织者、与会者和出席响应的日历邀请会议。
兼容性
我发现这种技术适用于所有最流行的电子邮件提供商(例如 Google Workspace、O365)。但由于 Google 呈现 .ics 附件的方式,它在 Google 目标上效果更好。因此,下面的演示将仅考虑 Google 目标。开始吧!
攻击
下载 .ics 模板
获取 .ics 文件的最简单方法是创建从一个 Gmail 帐户到另一个 Gmail 帐户的 Google 日历邀请,然后下载invite.ics电子邮件附件。
登录到另一封电子邮件,单击电子邮件邀请并下载invite.ics 文件。
现在我们有时间来篡改 .ics 文件了。
篡改和欺骗
使用文本编辑器打开invite.ics 文件。你会看到每一行都是一种key:value格式。删除以开头的行UID.
# Delete this line
UID:[email protected]现在您可以开始欺骗联系人了。可以通过修改CN=如下所示的值来欺骗组织者。
ORGANIZER;[email protected]:mailto:[email protected]
至于与会者,您可以根据需要添加任意数量并再次修改该CN=值,这就是用户将看到的电子邮件。
ATTENDEE;CUTYPE=INDIVIDUAL;ROLE=REQ-PARTICIPANT;PARTSTAT=NEEDS-ACTION;RSVP=TRUE;[email protected];X-NUM-GUESTS=0:mailto:[email protected]
强制与会者接受邀请
每个与会者都有PARTSTAT=钥匙。通过简单地制作它PARTSTAT=ACCEPTED,看起来好像与会者接受了邀请。
添加个人资料图片
与会者的mailto:地址可以是您拥有的另一封电子邮件或随机电子邮件。选择您拥有的电子邮件的好处是您可以登录该帐户并上传您假装的个人资料图片。
例如,如果其中一位与会者拥有[email protected]和mailto:[email protected]。我可以将 Johnathan 的照片上传到 [email protected],这就是用户将在日历邀请中看到的内容。
重要警告 – 请阅读
确保mailto:组织者的地址不是Google 电子邮件(不是 Gmail 或 Google Workspace)。出于某种原因,如果是 Google 电子邮件,则电子邮件中不包含“是/可能/否”按钮。对于我的示例,我使用了一个 Hotmail 帐户。
日历标题和时间
可以通过修改Summary:.ics 文件中的键来更改日历标题。
至于时间是通过修改DTSTART:和DTEND:键来实现的。
回顾
如果你迷路了,我会重述这些步骤。我首先假设我已经下载了invite.ics 文件。
第1步
删除UID.ics 文件中以开头的行。
第2步
通过修改CN=和mailto:值来欺骗组织者和与会者。确保mailto:组织者的价值是非 Google 电子邮件。还要确保您设置PARTSTAT=ACCEPTED为除受害者用户之外的所有与会者。
ORGANIZER;[email protected]:mailto:[email protected]
ATTENDEE;CUTYPE=INDIVIDUAL;ROLE=REQ-PARTICIPANT;PARTSTAT=NEEDS-ACTION;RSVP=
TRUE;[email protected];X-NUM-GUESTS=0:mailto:[email protected]
ATTENDEE;CUTYPE=INDIVIDUAL;ROLE=REQ-PARTICIPANT;PARTSTAT=ACCEPTED;RSVP=
TRUE;[email protected];X-NUM-GUESTS=0:mailto:[email protected]
ATTENDEE;CUTYPE=INDIVIDUAL;ROLE=REQ-PARTICIPANT;PARTSTAT=ACCEPTED;RSVP=
TRUE;[email protected];X-NUM-GUESTS=0:mailto:[email protected]第 3 步
将日历标题修改为您想要的任何内容。
SUMMARY:Mandatory Company Townhall Meeting第四步
确保正确设置日历邀请的时间。下图时间为2021-11-02 12pm-1pm。
DTSTART:20211102T160000Z
DTEND:20211102T170000Z第5步
给受害者写一封电子邮件并附上 .ics 文件。电子邮件标题的格式应如下所示:
Invitation: CALENDAR-TITLE-HERE @ Wed Nov 2, 2021 12pm - 1pm (EDT) ([email protected])第6 步 – 可选
在电子邮件正文中添加 Google Meet 链接,因为 Google 在 .ics 文件中删除了 Google Meet 链接。
结果
正如预期的那样,用户会看到欺骗的名称。
并且两个欺骗用户都已经接受了会议。
陷阱
将鼠标悬停在 Google 日历上的名称上,mailto:电子邮件就会出现,因此请尝试将其设置为与欺骗性电子邮件接近的电子邮件。
例如:[email protected]和mailto:[email protected]
转载请注明出处及链接