Фишинговая ссылка в теле письма — это прошлый век. Почтовые фильтры выявляют такую уловку практически со стопроцентной эффективностью. Поэтому киберпреступники постоянно изобретают новые способы выманивания корпоративных учетных данных. Недавно мы наткнулись на достаточно интересный вариант с использованием вполне легитимных серверов SharePoint. В этом посте мы расскажем, как эта схема работает и на что сотрудникам следует обращать внимание, чтобы не попасться.
Как выглядит фишинг через SharePoint
Сотруднику приходит шаблонная нотификация о том, что кто-то поделился с ним файлом. Скорее всего, она не вызовет у него ни малейшего подозрения (особенно если в компании действительно используется SharePoint). А все потому, что это действительно аутентичная нотификация сервера Sharepoint.
Ничего не подозревающий сотрудник кликает на ссылку и попадает на реальный сервер SharePoint, на котором действительно открывается заявленный файл OneNote. Вот только внутри он выглядит как еще одно извещение о файле и содержит здоровенную иконку (на этот раз файла PDF). Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку — а вот она уже стандартная фишинговая.
Ну а по ссылке открывается стандартный фишинговый сайт, имитирующий вход на OneDrive, на котором злоумышленники готовы украсть учетные данные для Yahoo!, Aol, Outlook, Office 365 или любого другого типа почтового ящика.
Почему данный тип фишинга особенно опасен
Сам по себе фишинг через SharePoint встречается далеко не впервые. Однако на этот раз уловка заключается в том, что злоумышленники не просто спрятали фишинговую ссылку на сервере SharePoint, но и распространяют ее при помощи родного механизма для рассылки нотификаций. Дело в том, что компания Microsoft предусмотрела возможность поделиться файлом, расположенным на корпоративном SharePoint, с внешними участниками рабочего процесса, которые не имеют прямого доступа к серверу. Как это делается, описывает инструкция на сайте компании.
Все, что нужно сделать злоумышленникам, это получить доступ к чьему-то серверу SharePoint (при помощи аналогичной или любой другой фишинговой уловки). После этого они загружают туда свой файл со ссылкой и добавляют список адресов людей, с которыми этой ссылкой следует поделиться. А дальше SharePoint сам услужливо разошлет нотификации. Причем письма с нотификациями будут иметь безупречную репутацию — ведь они, по сути, придут от имени легитимного сервиса настоящей компании.
Как оставаться в безопасности
Чтобы ваши сотрудники не стали жертвой мошенников, им следует объяснить признаки, по которым они могут самостоятельно понять, что с письмом что-то не так. В данном случае насторожить должно следующее:
- неизвестно, кто поделился файлом (файлы от незнакомых людей лучше не открывать);
- неизвестно, что это за файл (нормальные люди не делятся файлами с бухты-барахты, они, как правило, объясняют, что они прислали и зачем);
- в письме идет речь о файле OneNote, а на сервере уже о PDF;
- ссылка на скачивание файла ведет на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint;
- файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft.
Для верности имеет смысл периодически повышать уровень осведомленности сотрудников о современных киберугрозах. Например, при помощи специализированных онлайн-платформ.
Ну а в целом эта уловка наглядно показывает, что защитные решения с антифишинговыми технологиями должны работать не только на уровне почтовых серверов компании, но и на всех рабочих устройствах сотрудников.