Dokumenty Google używane do wyłudzania danych logowania w Office 365

Oszuści wpadli na pomysł wykorzystania usług Google, aby przejąć konta w usługach firmy Microsoft.

Od początku pandemii COVID-19 wiele firm przeniosło większość swojej działalności do internetu i zaczęło korzystać z nowych narzędzi służących do współpracy. Spory wzrost liczy użytkowników zanotował w szczególności oferowany przez firmę Microsoft pakiet Office 365, nic więc dziwnego, że ataki phishingowe coraz częściej są wymierzone w te właśnie konta. Oszuści stosują wszelkiego rodzaju sztuczki, aby nakłonić użytkowników biznesowych do wprowadzenia swoich haseł na stronie internetowej przypominającej stronę logowania firmy Microsoft. Poniżej prezentujemy kolejny schemat wyłudzania informacji, w którym wykorzystywane są usługi Google.

Wiadomość phishingowa

Jak większość schematów wyłudzania danych, opisywany przez nas przypadek zaczyna się od otrzymania przez potencjalną ofiarę takiej wiadomości (i linku):

Napisana bardzo ogólnikowo wiadomość od nieznanego nadawcy dotyczy jakiejś wpłaty i zawiera link, pod którym rzekomo znajduje się więcej informacji. Odbiorca ma sprawdzić rodzaj depozytu i potwierdzić jego kwotę. Chociaż systemy zabezpieczające ostrzegają odbiorców o tym, że wiadomość pochodzi spoza firmy, łącze prowadzące do pliku jest aktywne, ponieważ prowadzi do legalnej usługi internetowej należącej do firmy Google, a nie strony phishingowej.

Strona phishingowa

Wydaje się, że łącze prowadzi do strony usługi dla firm, OneDrive. Co więcej, użytkownicy mogą nawet zobaczyć, że dokument jest dostępny dla każdego użytkownika w firmie (prawdopodobnie celem takiego zabiegu jest zwiększenie szansy, że ktoś przekaże link księgowej).

Jednak ekran, jaki widzą użytkownicy, w rzeczywistości nie jest stroną internetową, lecz slajdem z prezentacji Dokumentów Google, która otwiera się automatycznie w trybie widoku. Umieszczony na nim przycisk „Otwórz” może zawierać dowolny link. W naszym przypadku link łączy się ze stroną wyłudzającą informacje przedstawianą jako strona logowania do usługi Office 365.

Oznaki oszustwa

Wiadomość wygląda dziwnie. Jak wiadomo, nie należy ufać wiadomości, których źródło i cel nie są nam znane (nie mówiąc o przekazaniu jej dalej). Jeśli nic Ci nie wiadomo o jakimś depozycie, nie musisz podejmować w związku z nim żadnych działań.

Inne wskazówki:

  • Wiadomości pochodzące ze źródeł zewnętrznych zwykle nie prowadzą do dokumentów wewnętrznych firmy.
  • Prawdziwe dokumenty finansowe są dostępne dla konkretnych osób, a nie dla każdej osoby w organizacji.
  • Nazwa pliku umieszczonego w wiadomości nie jest zgodna z nazwą pliku rzekomo przechowywanego w usłudze OneDrive.
  • W Dokumentach Google nie są hostowane strony usługi Microsoft OneDrive (patrz pasek adresu przeglądarki).
  • Usługa OneDrive nie jest programem Outlook, a przycisk „Otwórz” dostępny w usłudze OneDrive nie powinien prowadzić do strony logowania w programie Outlook.
  • Strony logowania programu Outlook nie znajdują się na stronach serwisu Amazon (to kolejna oznaka oszustwa widoczna w pasku adresu przeglądarki).

Każda niespójność powinna obudzić naszą czujność, a wszystkie razem nie pozostawiają już wątpliwości: nie jest to bezpieczne miejsce do wprowadzania poświadczeń usługi Office 365.

Jak zachować bezpieczeństwo

Kluczem do bezpieczeństwa cyfrowego jest zwracanie uwagi na szczegóły i świadomość sztuczek wyłudzających informacje. Zalecamy również podnoszenie świadomości pracowników na temat aktualnych cyberzagrożeń (nasze szkolenie jest dostępne przez internet).

Oprócz szkolenia personelu warto korzystać z narzędzi sprawdzające łącza na poziomie całej firmy i poszczególnych stacji roboczych.

Porady