Атаки на користувачів сервісів обміну файлами SharePoint, OneDrive та Dropbox.

Microsoft Threat Intelligence попереджає, що зловмисники все частіше використовують сервіси для обміну файлами та спільної роботи з файлами. Мета фішингових атак - крадіжка облікових даних.

Зловмисники обходять захист, надаючи доступ до документів тільки для перегляду або з обмеженими правами конкретному користувачеві - їхній цільовій жертві. Потерпілі отримують автоматичні повідомлення електронною поштою з пропозицією пройти аутентифікацію. Соціальна інженерія переконує користувачів клікнути на посилання в документі, яке веде на фішингову сторінку.

Такі атаки часто призводять до компрометації облікових записів і пристроїв, а також до атак, спрямованих на злом електронної пошти, що може мати серйозніші наслідки, як-от фінансове шахрайство та витік даних.

Атака починається з компрометації облікового запису.

Такі атаки, що почалися в середині квітня 2024 р., відрізняються від традиційних фішингових атак, які використовували вкладення в електронну пошту. Натомість зловмисники використовують легітимні сервіси для надсилання файлів з обмеженим доступом або з можливістю лише перегляду.

Файли з обмеженим доступом налаштовані так, що їх може відкрити тільки вказаний одержувач, який повинен увійти в обліковий запис обраного сервісу, такого як Dropbox, OneDrive або SharePoint. Файли з правами тільки для перегляду обходять системи безпеки електронної пошти.

Спочатку зловмисник зламує обліковий запис одного неакуратного користувача. Потім зловмисник розміщує файл на сервісі та ділиться ним з іншими користувачами.

Такий підхід дуже ефективний, оскільки одержувачі схильні довіряти сервісам обміну файлами від інших довірених користувачів, а системи безпеки часто пропускають це, оскільки користувач довірений.

Замість фішингового листа жертви отримують автоматичне повідомлення про обмін файлами. Одержувачу потрібно пройти аутентифікацію перед доступом до файлу, доступ до якого відкритий лише протягом обмеженого періоду часу.

Коли цільовий користувач намагається відкрити файл, його просять підтвердити особу і ввести одноразовий код (OTP). Потім авторизований користувач бачить документ, часто замаскований під попередній перегляд. Він містить шкідливе посилання, замасковане як «Переглянути повідомлення».

Це посилання перенаправляє користувача на фішингову сторінку типу з атакою «людина посередині». Тут користувача знову просять ввести пароль і пройти двофакторну аутентифікацію (2FA). Тим самим зловмисники отримують облікові дані та OTP пароль. Отримані облікові дані і токени можуть бути використані для атаки на інших користувачів або для другої стадії атаки на ділову пошту. За час існування OTP пароля фішинговий сервер встигає отримати доступ до пошти жертви.

Це не перша і не остання дискредитація одноразового OTP пароля. Для вирішення подібних проблем Microsoft рекомендує використовувати двофакторну аутентифікацію на базі ключів безпеки FIDO2.