Злоумышленники всё активнее используют платформу Microsoft SharePoint для проведения фишинговых атак. В отличие от классических фишинговых писем со странными ссылками и очевидным вредоносом, эти атаки выглядят на удивление убедительно — и как раз в этом их опасность.
Жертве приходит письмо с якобы легитимной ссылкой на документ в SharePoint. Обычная ситуация — кто-то «поделился с вами файлом». Переходишь, и перед тобой знакомая страница входа Microsoft, просят ввести адрес почты. После этого приходит настоящий код проверки от Microsoft. Всё выглядит настолько правдоподобно, что большинство пользователей без колебаний вводят код. И только потом происходит самое важное — человек попадает на поддельную страницу входа, размещённую на том же SharePoint. Именно там собираются логины, пароли и прочая конфиденциальная информация.
Такие атаки крайне сложно обнаружить. SharePoint — доверенная платформа, ссылки на неё редко вызывают подозрения у EDR-систем и почтовых шлюзов. Вредоносный контент часто размещается с таймером и удаляется через считаные минуты — автоматические сканеры просто не успевают среагировать. Если при этом используется взломанный корпоративный аккаунт, и письмо приходит от реального сотрудника — отличить фишинг становится почти невозможно.
После взлома злоумышленники нередко настраивают обход многофакторной аутентификации, пересылают письма, создают скрытые правила, приглашают внешние аккаунты в рабочие пространства — и таким образом закрепляются внутри компании.
Обнаружить такую атаку можно по необычным событиям входа, активности с незнакомых IP, странным действиям с MFA и подозрительным перенаправлениям. Но ключевая защита — это осведомлённость. Люди должны понимать, что даже ссылки с SharePoint могут быть частью атаки, и уметь вовремя остановиться и перепроверить.
Источник: Аман Мишра, CyberProof