Статья SharePoint как инструмент для фишинга

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
Фишинговая ссылка в теле письма — это прошлый век. Почтовые фильтры выявляют такую уловку практически со стопроцентной эффективностью.


Поэтому киберпреступники постоянно изобретают новые способы выманивания корпоративных учетных данных. Недавно мы наткнулись на достаточно интересный вариант с использованием вполне легитимных серверов SharePoint. В этом посте мы расскажем, как эта схема работает и на что сотрудникам следует обращать внимание, чтобы не попасться.

Как выглядит фишинг через SharePoint

Сотруднику приходит шаблонная нотификация о том, что кто-то поделился с ним файлом. Скорее всего, она не вызовет у него ни малейшего подозрения (особенно если в компании действительно используется SharePoint). А все потому, что это действительно аутентичная нотификация сервера Sharepoint.


Легитимное извещение от сервера Sharepoint

Ничего не подозревающий сотрудник кликает на ссылку и попадает на реальный сервер SharePoint, на котором действительно открывается заявленный файл OneNote. Вот только внутри он выглядит как еще одно извещение о файле и содержит здоровенную иконку (на этот раз файла PDF). Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку — а вот она уже стандартная фишинговая.


Содержимое файла OneNote на сервере Sharepoint

Ну а по ссылке открывается стандартный фишинговый сайт, имитирующий вход на OneDrive, на котором злоумышленники готовы украсть учетные данные для Yahoo!, Aol, Outlook, Office 365 или любого другого типа почтового ящика.


Мошеннический сайт, имитирующий страницу входа в Microsoft OneDrive

Почему данный тип фишинга особенно опасен

Сам по себе фишинг через SharePoint встречается . Однако на этот раз уловка заключается в том, что злоумышленники не просто спрятали фишинговую ссылку на сервере SharePoint, но и распространяют ее при помощи родного механизма для рассылки нотификаций. Дело в том, что компания Microsoft предусмотрела возможность поделиться файлом, расположенным на корпоративном SharePoint, с внешними участниками рабочего процесса, которые не имеют прямого доступа к серверу. Как это делается, описывает на сайте компании.

Все, что нужно сделать злоумышленникам, это получить доступ к чьему-то серверу SharePoint (при помощи аналогичной или любой другой фишинговой уловки). После этого они загружают туда свой файл со ссылкой и добавляют список адресов людей, с которыми этой ссылкой следует поделиться. А дальше SharePoint сам услужливо разошлет нотификации. Причем письма с нотификациями будут иметь безупречную репутацию — ведь они, по сути, придут от имени легитимного сервиса настоящей компании.

Как оставаться в безопасности​

Чтобы ваши сотрудники не стали жертвой мошенников, им следует объяснить признаки, по которым они могут самостоятельно понять, что с письмом что-то не так.

В данном случае насторожить должно следующее:

  • неизвестно, кто поделился файлом (файлы от незнакомых людей лучше не открывать);
  • неизвестно, что это за файл (нормальные люди не делятся файлами с бухты-барахты, они, как правило, объясняют, что они прислали и зачем);
  • в письме идет речь о файле OneNote, а на сервере уже о PDF;
  • ссылка на скачивание файла ведет на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint;
  • файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft.
Для верности имеет смысл периодически повышать уровень осведомленности сотрудников о современных киберугрозах. Например, при помощи .

Ну а в целом эта уловка наглядно показывает, что защитные решения с антифишинговыми технологиями должны работать не только , но и на всех сотрудников.

 
Познавательно, спасибо, сохранил!
 
Сверху Снизу