SharePoint как инструмент для фишинга

Злоумышленники используют чужие серверы SharePoint для рассылки опасных нотификаций.

Фишинг через SharePoint

Фишинговая ссылка в теле письма — это прошлый век. Почтовые фильтры выявляют такую уловку практически со стопроцентной эффективностью. Поэтому киберпреступники постоянно изобретают новые способы выманивания корпоративных учетных данных. Недавно мы наткнулись на достаточно интересный вариант с использованием вполне легитимных серверов SharePoint. В этом посте мы расскажем, как эта схема работает и на что сотрудникам следует обращать внимание, чтобы не попасться.

Как выглядит фишинг через SharePoint

Сотруднику приходит шаблонная нотификация о том, что кто-то поделился с ним файлом. Скорее всего, она не вызовет у него ни малейшего подозрения (особенно если в компании действительно используется SharePoint). А все потому, что это действительно аутентичная нотификация сервера Sharepoint.

Легитимное извещение от сервера Sharepoint

Легитимное извещение от сервера Sharepoint

Ничего не подозревающий сотрудник кликает на ссылку и попадает на реальный сервер SharePoint, на котором действительно открывается заявленный файл OneNote. Вот только внутри он выглядит как еще одно извещение о файле и содержит здоровенную иконку (на этот раз файла PDF). Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку — а вот она уже стандартная фишинговая.

Содержимое файла OneNote на сервере Sharepoint

Содержимое файла OneNote на сервере Sharepoint

Ну а по ссылке открывается стандартный фишинговый сайт, имитирующий вход на OneDrive, на котором злоумышленники готовы украсть учетные данные для Yahoo!, Aol, Outlook, Office 365 или любого другого типа почтового ящика.

Мошеннический сайт, имитирующий страницу входа в Microsoft OneDrive

Мошеннический сайт, имитирующий страницу входа в Microsoft OneDrive

Почему данный тип фишинга особенно опасен

Сам по себе фишинг через SharePoint встречается далеко не впервые. Однако на этот раз уловка заключается в том, что злоумышленники не просто спрятали фишинговую ссылку на сервере SharePoint, но и распространяют ее при помощи родного механизма для рассылки нотификаций. Дело в том, что компания Microsoft предусмотрела возможность поделиться файлом, расположенным на корпоративном SharePoint, с внешними участниками рабочего процесса, которые не имеют прямого доступа к серверу. Как это делается, описывает инструкция на сайте компании.

Все, что нужно сделать злоумышленникам, это получить доступ к чьему-то серверу SharePoint (при помощи аналогичной или любой другой фишинговой уловки). После этого они загружают туда свой файл со ссылкой и добавляют список адресов людей, с которыми этой ссылкой следует поделиться. А дальше SharePoint сам услужливо разошлет нотификации. Причем письма с нотификациями будут иметь безупречную репутацию — ведь они, по сути, придут от имени легитимного сервиса настоящей компании.

Как оставаться в безопасности

Чтобы ваши сотрудники не стали жертвой мошенников, им следует объяснить признаки, по которым они могут самостоятельно понять, что с письмом что-то не так. В данном случае насторожить должно следующее:

  • неизвестно, кто поделился файлом (файлы от незнакомых людей лучше не открывать);
  • неизвестно, что это за файл (нормальные люди не делятся файлами с бухты-барахты, они, как правило, объясняют, что они прислали и зачем);
  • в письме идет речь о файле OneNote, а на сервере уже о PDF;
  • ссылка на скачивание файла ведет на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint;
  • файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft.

Для верности имеет смысл периодически повышать уровень осведомленности сотрудников о современных киберугрозах. Например, при помощи специализированных онлайн-платформ.

Ну а в целом эта уловка наглядно показывает, что защитные решения с антифишинговыми технологиями должны работать не только на уровне почтовых серверов компании, но и на всех рабочих устройствах сотрудников.

Советы