Sztuki phishingowe wykorzystujące program Microsoft Office

Mając dostęp do firmowej poczty e-mail, cyberprzestępcy mogą przeprowadzać ataki typu business e-mail compromise. Dlatego tak wiele wiadomości phishingowych nakazuje pracownikom firm zalogowanie się do stron internetowych, które wyglądem przypominają stronę logowania pakietu MS Office. W związku z tym trzeba wiedzieć, na co zwracać uwagę, gdy umieszczone łącze prowadzi do takiej strony.

O tym, że cyberprzestępcy polują na dane logowania do kont w serwisie Microsoft Office, wiadomo od dawna. Jednak używane przez atakujących metody są coraz bardziej zaawansowane. Dziś pokażemy przykład z życia wzięty — otrzymaną przez nas wiadomość — aby pokazać, na co należy zwrócić uwagę i jak teraz działają cyberprzestępcy.

Nowa sztuczka phishingowa: załącznik HTML

Wiadomość phishingowa zwykle zawiera hiperłącze do fałszywej strony internetowej. Często przypominamy, że łącza wymagają od odbiorców szczególnej uwagi zarówno pod względem wyglądu, jaki stron docelowych (w większości klientów pocztowych i interfejsów sieciowych wystarczy skierować kursor na adres URL, aby zobaczyć, gdzie naprawdę trafimy po kliknięciu danego łącza). Ponieważ przywykliśmy do sprawdzania takich łączy, phisherzy zaczęli zastępować je plikami HTML, których jedynym celem jest automatyczne przekierowanie ofiary na wybraną przez nich stronę.

Po kliknięciu załącznika HTML zostaje on otwarty w przeglądarce. Plik ten zawiera tylko jedną linijkę kodu (javascript: window.location.href), w której zmienną jest adres phishingowej strony internetowej. W ten sposób przeglądarka zostaje zmuszona do otwarcia tej strony internetowej w tym samym oknie.

Po czym poznać, że wiadomość jest phishingowa

Pomijając nową taktykę, sam phishing jest już dobrze znany, więc wystarczy przeanalizować samą wiadomość. Poniżej prezentujemy wiadomość, jaka trafiła do nas. W tym przypadku podejrzenie wzbudza fałszywe powiadomienie o odebranej wiadomości głosowej:

Przed kliknięciem załącznika staramy się odpowiedzieć sobie na kilka pytań:

1. Czy znam nadawcę? Czy prawdopodobne jest, że nadawca mógł pozostawić w pracy wiadomość głosową?
2. Czy w naszej firmie wysyłanie wiadomości głosowych pocztą e-mail jest powszechnie stosowane? Nawet jeśli metoda ta jest często używana, pamiętaj, że od stycznia 2020 r. platforma Microsoft 365 nie obsługuje poczty głosowej.
3. Czy wiem, która aplikacja wysłała to powiadomienie? MS Recorder nie jest elementem pakietu Office — a ponadto domyślną aplikacją nagrywania dźwięku w systemie Microsoft, która teoretycznie mogłaby wysłać wiadomość głosową, jest Voice Recorder, a nie MS Recorder.
4. Czy załącznik wygląda jak plik dźwiękowy? Voice Recorder może udostępniać nagrania głosowe, jednak wysyła je jako pliki .m3a. Nawet jeśli nagrania pochodzą od znanego Ci narzędzia i są przechowywane na serwerze, zamiast załącznika w wiadomości powinien pojawić się prowadzący do nich link.

Podsumowując: Otrzymaliśmy wiadomość od nieznanego nam nadawcy, w którym znajduje się rzekoma wiadomość głosowa (funkcja, której nigdy nie używaliśmy), nagrana za pomocą nieznanego programu, wysłana w postaci dołączonej strony internetowej. Czy warto ją otworzyć? Z pewnością nie.

Jak rozpoznać stronę phishingową

Załóżmy, że ktoś kliknął ten załącznik i trafił na stronę phishingową. Po czym pozna, że nie jest to legalna strona?

Wystarczy sprawdzić, czy:

1. Zawartość paska adresu przypomina adres firmy Microsoft.
2. Łącza „Nie możesz dostać się na swoje konto?” i „Zaloguj się za pomocą klucza zabezpieczającego” kierują tam, gdzie powinny. Nawet na stronie phishingowej mogą one prowadzić do prawdziwych stron firmy Microsoft, jednak w naszym przypadku były one nieaktywne, co jest wyraźną oznaką oszustwa.
3. Okno nie wzbudza podejrzeń. Firma Microsoft zwykle nie ma problemów z takimi szczegółami jak skalowanie obrazu w tle. Oczywiście błędy mogą przydarzyć się każdemu, ale wszelkie anomalie powinny wzbudzić czujność.

Jeśli masz jakiekolwiek wątpliwości, przejdź na stronę https://login.microsoftonline.com/ i sprawdź, jak wygląda prawdziwa strona logowania do serwisu Microsoft.

Jak nie dać się oszukać

Aby nie wręczyć swojego hasła do konta w serwisie Office nieznanym osobom:

• Zachowaj czujność. Zadaj sobie nasze pytania, dzięki którym unikniesz najprostszych form phishingu. Aby poznać inne sztuczki, wypróbuj nasze nowoczesne kursy zwiększające świadomość kwestii bezpieczeństwa.
• Zabezpiecz skrzynki pocztowe pracowników za pomocą ochrony dla Office 365, aby ujawniać ataki phishingowe z użyciem hiperłączy lub dołączonych plików HTML, a także ochrony dla punktów końcowych, aby blokować otwieranie stron phishingowych.