Эксперты «Лаборатории Касперского» выявили новую фишинговую схему с использованием серверов SharePoint, которая позволяет злоумышленникам красть логины и пароли к различным почтовым аккаунтам, в том числе Yahoo!, AOL, Outlook, Office 365. Об этом «Газете.Ru» рассказали в компании.
Схема нацелена на сотрудников компаний по всему миру, в том числе в России. Злоумышленники рассылают уведомления с фишинговыми ссылками от имени SharePoint, программы для организации совместной работы, которые обходят спам-фильтры и не вызывают сомнений, особенно если в компании принято использовать это приложение на ежедневной основе. Всего за прошедшую зиму специалисты «Лаборатории Касперского» выявили более 1,6 тыс. подобных писем.
Как отмечают эксперты, именно в этом и заключается основная опасность схемы — злоумышленники не просто прячут фишинговую ссылку на сервере SharePoint, но и распространяют ее при помощи встроенного механизма для рассылки уведомлений. Это возможно благодаря тому, что компания Microsoft предусмотрела возможность поделиться файлом с корпоративного сервера SharePoint с внешними участниками рабочего процесса, которые не имеют к нему прямого доступа. Для этого злоумышленникам достаточно получить доступ к чьему-то серверу SharePoint при помощи аналогичной или любой другой фишинговой уловки.
Как только получатель нажимает на ссылку, он попадает на сервер SharePoint, где действительно открывается файл OneNote. Однако внутри этот файл выглядит как еще одно извещение и содержит крупную иконку, которую получатель воспринимает как дополнительный шаг для скачивания данных. На деле же именно она оказывается фишинговой.
«Эта фишинговая схема опасна тем, что уведомления приходят от имени легитимного сервиса настоящей компании. Тем не менее в данном случае есть красные флаги. Во-первых, неизвестно, кто поделился файлом (файлы от незнакомых людей лучше не открывать), неизвестно, что это за файл (легитимные адресаты, как правило, объясняют, что они прислали и зачем). Ссылка на скачивание файла ведет на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint. Файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft», — обращает внимание эксперт по анализу спама в «Лаборатории Касперского» Роман Деденок.
Ранее «Газета.Ru» рассказывала, что в Microsoft Outlook была обнаружена уязвимость, позволяющая красть пароли с помощью всего одного письма.