Злоумышленники начали вставлять фишинговые ссылки в уведомления SharePoint

Появилась новая фишинговая схема с использованием легитимных серверов SharePoint. Цель злоумышленников — украсть логины и пароли к различным почтовым аккаунтам, в том числе Yahoo!, AOL, Outlook, Office 365. Новую схему обнаружили эксперты «Лаборатории Касперского».

Схема нацелена на сотрудников компаний по всему миру, в том числе в России. Всего за прошедшую зиму специалисты компании выявили более 1,6 тыс. таких писем. Злоумышленники рассылают уведомления от имени легитимного сервиса, которые обходят спам-фильтры и не вызывают сомнений, особенно если в компании принято использовать SharePoint на ежедневной основе.

«В этом заключается основная опасность этой схемы: злоумышленники не просто прячут фишинговую ссылку на сервере SharePoint, но и распространяют её при помощи родного механизма для рассылки уведомлений. Дело в том, что компания Microsoft предусмотрела возможность поделиться файлом, расположенным на корпоративном SharePoint с внешними участниками рабочего процесса, которые не имеют прямого доступа к серверу. Всё, что нужно сделать злоумышленникам, — это получить доступ к чьему-то серверу SharePoint при помощи аналогичной или любой другой фишинговой уловки», — объяснили эксперты.

Если получатель нажимает на ссылку, он попадает на реальный сервер SharePoint, где действительно открывается заявленный файл OneNote. Но внутри этот файл выглядит как ещё одно извещение и содержит крупную иконку (на этот раз файла PDF). Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку, которая является фишинговой.