Od początku pandemii COVID-19 wiele firm przeniosło większość swojej działalności do internetu i zaczęło korzystać z nowych narzędzi służących do współpracy. Spory wzrost liczy użytkowników zanotował w szczególności oferowany przez firmę Microsoft pakiet Office 365, nic więc dziwnego, że ataki phishingowe coraz częściej są wymierzone w te właśnie konta. Oszuści stosują wszelkiego rodzaju sztuczki, aby nakłonić użytkowników biznesowych do wprowadzenia swoich haseł na stronie internetowej przypominającej stronę logowania firmy Microsoft. Poniżej prezentujemy kolejny schemat wyłudzania informacji, w którym wykorzystywane są usługi Google.
Wiadomość phishingowa
Jak większość schematów wyłudzania danych, opisywany przez nas przypadek zaczyna się od otrzymania przez potencjalną ofiarę takiej wiadomości (i linku):
Napisana bardzo ogólnikowo wiadomość od nieznanego nadawcy dotyczy jakiejś wpłaty i zawiera link, pod którym rzekomo znajduje się więcej informacji. Odbiorca ma sprawdzić rodzaj depozytu i potwierdzić jego kwotę. Chociaż systemy zabezpieczające ostrzegają odbiorców o tym, że wiadomość pochodzi spoza firmy, łącze prowadzące do pliku jest aktywne, ponieważ prowadzi do legalnej usługi internetowej należącej do firmy Google, a nie strony phishingowej.
Strona phishingowa
Wydaje się, że łącze prowadzi do strony usługi dla firm, OneDrive. Co więcej, użytkownicy mogą nawet zobaczyć, że dokument jest dostępny dla każdego użytkownika w firmie (prawdopodobnie celem takiego zabiegu jest zwiększenie szansy, że ktoś przekaże link księgowej).
Jednak ekran, jaki widzą użytkownicy, w rzeczywistości nie jest stroną internetową, lecz slajdem z prezentacji Dokumentów Google, która otwiera się automatycznie w trybie widoku. Umieszczony na nim przycisk „Otwórz” może zawierać dowolny link. W naszym przypadku link łączy się ze stroną wyłudzającą informacje przedstawianą jako strona logowania do usługi Office 365.
Oznaki oszustwa
Wiadomość wygląda dziwnie. Jak wiadomo, nie należy ufać wiadomości, których źródło i cel nie są nam znane (nie mówiąc o przekazaniu jej dalej). Jeśli nic Ci nie wiadomo o jakimś depozycie, nie musisz podejmować w związku z nim żadnych działań.
Inne wskazówki:
- Wiadomości pochodzące ze źródeł zewnętrznych zwykle nie prowadzą do dokumentów wewnętrznych firmy.
- Prawdziwe dokumenty finansowe są dostępne dla konkretnych osób, a nie dla każdej osoby w organizacji.
- Nazwa pliku umieszczonego w wiadomości nie jest zgodna z nazwą pliku rzekomo przechowywanego w usłudze OneDrive.
- W Dokumentach Google nie są hostowane strony usługi Microsoft OneDrive (patrz pasek adresu przeglądarki).
- Usługa OneDrive nie jest programem Outlook, a przycisk „Otwórz” dostępny w usłudze OneDrive nie powinien prowadzić do strony logowania w programie Outlook.
- Strony logowania programu Outlook nie znajdują się na stronach serwisu Amazon (to kolejna oznaka oszustwa widoczna w pasku adresu przeglądarki).
Każda niespójność powinna obudzić naszą czujność, a wszystkie razem nie pozostawiają już wątpliwości: nie jest to bezpieczne miejsce do wprowadzania poświadczeń usługi Office 365.
Jak zachować bezpieczeństwo
Kluczem do bezpieczeństwa cyfrowego jest zwracanie uwagi na szczegóły i świadomość sztuczek wyłudzających informacje. Zalecamy również podnoszenie świadomości pracowników na temat aktualnych cyberzagrożeń (nasze szkolenie jest dostępne przez internet).
Oprócz szkolenia personelu warto korzystać z narzędzi sprawdzające łącza na poziomie całej firmy i poszczególnych stacji roboczych.