Фишинговая ссылка в теле письма — это прошлый век. Почтовые фильтры выявляют такую уловку практически со стопроцентной эффективностью.
Поэтому киберпреступники постоянно изобретают новые способы выманивания корпоративных учетных данных. Недавно мы наткнулись на достаточно интересный вариант с использованием вполне легитимных серверов SharePoint. В этом посте мы расскажем, как эта схема работает и на что сотрудникам следует обращать внимание, чтобы не попасться.
Легитимное извещение от сервера Sharepoint
Ничего не подозревающий сотрудник кликает на ссылку и попадает на реальный сервер SharePoint, на котором действительно открывается заявленный файл OneNote. Вот только внутри он выглядит как еще одно извещение о файле и содержит здоровенную иконку (на этот раз файла PDF). Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку — а вот она уже стандартная фишинговая.
Содержимое файла OneNote на сервере Sharepoint
Ну а по ссылке открывается стандартный фишинговый сайт, имитирующий вход на OneDrive, на котором злоумышленники готовы украсть учетные данные для Yahoo!, Aol, Outlook, Office 365 или любого другого типа почтового ящика.
Мошеннический сайт, имитирующий страницу входа в Microsoft OneDrive
Все, что нужно сделать злоумышленникам, это получить доступ к чьему-то серверу SharePoint (при помощи аналогичной или любой другой фишинговой уловки). После этого они загружают туда свой файл со ссылкой и добавляют список адресов людей, с которыми этой ссылкой следует поделиться. А дальше SharePoint сам услужливо разошлет нотификации. Причем письма с нотификациями будут иметь безупречную репутацию — ведь они, по сути, придут от имени легитимного сервиса настоящей компании.
В данном случае насторожить должно следующее:
Ну а в целом эта уловка наглядно показывает, что защитные решения с антифишинговыми технологиями должны работать не только , но и на всех сотрудников.
Поэтому киберпреступники постоянно изобретают новые способы выманивания корпоративных учетных данных. Недавно мы наткнулись на достаточно интересный вариант с использованием вполне легитимных серверов SharePoint. В этом посте мы расскажем, как эта схема работает и на что сотрудникам следует обращать внимание, чтобы не попасться.
Как выглядит фишинг через SharePoint
Сотруднику приходит шаблонная нотификация о том, что кто-то поделился с ним файлом. Скорее всего, она не вызовет у него ни малейшего подозрения (особенно если в компании действительно используется SharePoint). А все потому, что это действительно аутентичная нотификация сервера Sharepoint.Легитимное извещение от сервера Sharepoint
Ничего не подозревающий сотрудник кликает на ссылку и попадает на реальный сервер SharePoint, на котором действительно открывается заявленный файл OneNote. Вот только внутри он выглядит как еще одно извещение о файле и содержит здоровенную иконку (на этот раз файла PDF). Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку — а вот она уже стандартная фишинговая.
Содержимое файла OneNote на сервере Sharepoint
Ну а по ссылке открывается стандартный фишинговый сайт, имитирующий вход на OneDrive, на котором злоумышленники готовы украсть учетные данные для Yahoo!, Aol, Outlook, Office 365 или любого другого типа почтового ящика.
Мошеннический сайт, имитирующий страницу входа в Microsoft OneDrive
Почему данный тип фишинга особенно опасен
Сам по себе фишинг через SharePoint встречается . Однако на этот раз уловка заключается в том, что злоумышленники не просто спрятали фишинговую ссылку на сервере SharePoint, но и распространяют ее при помощи родного механизма для рассылки нотификаций. Дело в том, что компания Microsoft предусмотрела возможность поделиться файлом, расположенным на корпоративном SharePoint, с внешними участниками рабочего процесса, которые не имеют прямого доступа к серверу. Как это делается, описывает на сайте компании.Все, что нужно сделать злоумышленникам, это получить доступ к чьему-то серверу SharePoint (при помощи аналогичной или любой другой фишинговой уловки). После этого они загружают туда свой файл со ссылкой и добавляют список адресов людей, с которыми этой ссылкой следует поделиться. А дальше SharePoint сам услужливо разошлет нотификации. Причем письма с нотификациями будут иметь безупречную репутацию — ведь они, по сути, придут от имени легитимного сервиса настоящей компании.
Как оставаться в безопасности
Чтобы ваши сотрудники не стали жертвой мошенников, им следует объяснить признаки, по которым они могут самостоятельно понять, что с письмом что-то не так.В данном случае насторожить должно следующее:
- неизвестно, кто поделился файлом (файлы от незнакомых людей лучше не открывать);
- неизвестно, что это за файл (нормальные люди не делятся файлами с бухты-барахты, они, как правило, объясняют, что они прислали и зачем);
- в письме идет речь о файле OneNote, а на сервере уже о PDF;
- ссылка на скачивание файла ведет на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint;
- файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft.
Ну а в целом эта уловка наглядно показывает, что защитные решения с антифишинговыми технологиями должны работать не только , но и на всех сотрудников.
