Реакция на «обычное уведомление от системы» запустит хакера в ваше облако: как работает атака типа «Поддельные уведомления в SaaS-приложения

Когда вы видите уведомление в Яндекс 360, СберБизнес или ВКонтакте для бизнеса, вы доверяете ему автоматически. Удобство популярных у бизнеса SaaS-платформ играет злую шутку и открывает для хакеров возможности атаковать вас незаметно, не вызывая подозрений.

Ведь оно пришло изнутри системы, которую используете каждый день. Именно на этом и строится атака: злоумышленник подделывает уведомление прямо внутри вашего рабочего пространства.

Поддельные уведомления в SaaS-приложениях — это вид фишинговой атаки, при которой злоумышленник имитирует системные или сервисные уведомления внутри доверенной облачной платформы (например, Яндекс 360, Microsoft 365, Google Workspace, СберБизнес, Битрикс24), чтобы побудить пользователя перейти по вредоносной ссылке или разрешить доступ стороннему приложению.

Сценарий атаки

К такой атаке злоумышленники готовятся и разыгрывают охоту на вас по строгому плану:

1. Регистрируют фишинговый домен, адрес которого так похож на настоящий, и глазами считывается как надёжный.
2. Создаётся поддельное приложение авторизации.
3. Разрабатывается фишинговая страница, копирующая дизайн официального портала.
4. Теперь жертва получает поддельное сообщение от используемой ею SaaS системы. В сообщении говорится, что «требуется срочная проверка безопасности», «ваш аккаунт заблокирован» или «доступ к документу ограничен».
5. Если жертва верит этому сообщению, то она переходит по ссылке, попадает на фишинговую страницу и передаёт атакующим свои учётные данные.

Последствия

Последствия успешной атаки этого типа удручающи. Хакеры получают доступ к:

• Почте и черновикам (включая переписку с клиентами, реквизиты, внутренние стратегии)
• Файлам из облака (финансовые модели, HR-базы, исходники, договоры)
• Спискам контактов (для запуска BEC-атак (Business Email Compromise) от вашего имени)
• Журналам встреч и записей.
• OAuth-токенам (позволяющие оставаться в системе месяцами, даже после смены пароля).
• Данным других сервисов, если используется единый вход (CRM, бухгалтерия, ERP).
• Электронным подписям и доверенностям, если они привязаны к аккаунту.

Как защититься

А средства противостояния этой угрозе покажутся вам знакомыми, если вы уже читали предыдущие статьи нашей «азбуки».

1. Предупредите и научите сотрудников: ссылки и уведомления могут быть опасны.

2. Проводите тренировки: проверяйте сотрудников с помощью собственных замаскированных фишинговых уведомлений, проводите с ними индивидуальную работу.

3. Отключите, если возможно, ненужные и опасные права для пользователей.

4. Настройте фильтрацию: доступ к вашим SaaS ресурсам должен быть только из рабочей сети.

5. Ведите мониторинг подозрительной активности: используйте отечественные EDR/SIEM-инструменты, совместимые с отечественными SaaS решениями, (Kaspersky Endpoint Detection and Response).

Заказать высокотехнологичные средства обеспечения информационной безопасности можно в АРБИС. Свяжитесь с нами для получения полной информации о приобретении отечественных бизнес-решений!

Обращайтесь в АРБИС по телефону в шапке профиля, письмом на электронную почту order_cib@arbis29.ru или через сообщения в нашем ВК-сообществе.