Как минимум с лета прошлого года неизвестные злоумышленники рассылают письма пользователям Office 365 в надежде выманить учетные данные. По словам впервые выявивших эту атаку исследователей, подобные письма могли получить до 10% всех пользователей сервиса.
Уловка PhishPoint
Письма, которые рассылают злоумышленники, выглядят как стандартные приглашения к совместной работе через SharePoint: адресату предлагают открыть документ, хранящийся в OneDrive для бизнеса. Собственно, уловка заключается в том, что по ссылке действительно находится именно то, что написано в письме — документ OneDrive для бизнеса. Вот только его внешний вид является имитацией запроса на доступ к документу. И вот уже в нем имеется фишинговая ссылка. Линк «Access Document» внизу страницы направляет на сторонний сайт, замаскированный под страницу входа в аккаунт Microsoft Office 365.
Корпоративные рабочие пространства вызывают больше доверия, чем другие ресурсы. У пользователей может сложиться впечатление, что посторонние не могут просто так получить доступ к сервисам SharePoint. Поэтому они смело переходят по ссылке на сайт злоумышленников. Если жертва введет на этом сайте рабочий логин и пароль, его учетные данные попадут в распоряжение хозяев файла.
С учетными данными киберпреступники потенциально смогут получить все привилегии жертвы, включая доступ к электронной почте, облачным хранилищам и конфиденциальной информации бизнеса. Прячась за корпоративным аккаунтом, мошенники способны шпионить за вами в пользу ваших конкурентов, распространять вредоносное ПО или использовать имя сотрудника и информацию о проектах для целевого фишинга.
Хитрость состоит в том, что почтовые фильтры проверяют ссылку в письме. А ссылка совершенно чиста — она ведет на документ, находящийся в хранилище с безупречной репутацией. Как только пользователь переходит на этот документ, он фактически выходит из-под юрисдикции почтовых фильтров — дальше за его безопасность могут отвечать только фильтры защитного решения, установленного непосредственно на компьютере.
Как защитить бизнес и сотрудников
Вот несколько советов, как повысить бдительность работников и безопасность компании от этой и аналогичных атак:
- Во-первых, расскажите сотрудникам, работающим c Office 365, о существовании такой схемы. Крайне редко ссылки на документы присылают внезапно, с бухты-барахты. Обычно этому предшествует какое-то обсуждение или хотя бы описание. Поэтому прежде чем открывать внезапно присланный без комментариев документ, имеет смысл уточнить у людей, от которых, как вы считаете, пришло письмо.
- Письма от неизвестных адресатов в принципе следует рассматривать критически и при малейших сомнениях — игнорировать.
- Самое главное — нужно помнить, что для противостояния фишинговой схеме такого типа на рабочих станциях сотрудников должно стоять endpoint-решение.