01/02/2019

Polowanie na konta w pakiecie Office 365

Biznes MŚP

Od co najmniej ubiegłego lata nieznani cyberprzestępcy wysyłają e-maile do użytkowników pakietu Office 365 w nadziei na zdobycie ich danych logowania. Według badaczy, którzy jako pierwsi odkryli ten atak, taką wiadomość mogło otrzymać aż 10% wszystkich użytkowników tej usługi.

Kampania PhishPoint

Oszukańcze wiadomości e-mail są wysyłane pod postacią zaproszeń do pracy grupowej nad prezentacją przy użyciu narzędzia SharePoint. Odbiorca jest zachęcany do otworzenia dokumentu przechowywanego w usłudze OneDrive dla Firm. Umieszczone w e-mailu łącze rzeczywiście prowadzi do dokumentu, jednak w celu otwarcia go należy kliknąć kolejne łącze — „Access Document” — znajdujące się na dole strony. Ofiara jest kierowana na stronę zewnętrzną podszywającą się pod stronę logowania do pakietu Microsoft Office 365.

Firmowe zasoby robocze cieszą się większym zaufaniem niż prywatne, a dodatkowo w takiej sytuacji użytkownicy mogą być pod wrażeniem, że ktoś obcy nie może tak łatwo uzyskać dostępu do usług SharePoint. W efekcie śmiało klikają łącze do oszukańczej strony. Jeśli ofiara wprowadzi na niej firmowe dane logowania, wpadną one w ręce właścicieli pliku.

Mając dane logowania, cyberprzestępcy mogą potencjalnie uzyskać dostęp do poczty e-mail, chmury czy poufnych informacji biznesowych. Ukrywając się pod postacią konta firmowego, oszuści mogą wykraść wrażliwe informacje dla konkurencji, rozprzestrzeniać szkodliwe oprogramowanie lub wykorzystać imiona i nazwiska pracowników oraz informacje o projekcie do ataku z użyciem phishingu ukierunkowanego.

Co ciekawe, filtry pocztowe sprawdzają umieszczone w wiadomości łącze. Okazuje się, że jest ono nieszkodliwe — prowadzi do dokumentu z nienaganną reputacją. Jednak po uzyskaniu dostępu do dokumentu użytkownik opuszcza obszar chroniony filtrami poczty i trafia pod skrzydła rozwiązania bezpieczeństwa (jeśli na komputerze jest zainstalowane).

Jak zabezpieczyć firmę i pracowników przed tym zagrożeniem

Oto kilka porad, które mogą pomóc zwiększyć czujność pracowników i podnieść poziom ochrony w firmie przed tym atakiem i podobnymi:

  • Poinformuj osoby korzystające z pakietu Office 365 o schemacie oszustwa. Łącza do dokumentów rzadko są wysyłane znienacka. Zatem zanim otworzysz dokument wysłany bez uprzedzenia, zawsze konsultuj sytuację z osobą, od której rzekomo została wysłana wiadomość.
  • Do wiadomości pochodzących od nieznanych adresatów podchodź bardziej krytycznie i o to samo poproś pracowników.
  • Zabezpiecz miejsce pracy każdego pracownika rozwiązaniem do ochrony punktów końcowych. Ochrona ta jest niezmiernie istotna w celu ochrony przed podobnymi oszustwami phishingowymi.