اعلان‌های قانونی شیرپوینت مورد استفاده برای فیشینگ – شماره 2 2023

اعلان های قانونی شیرپوینت که برای فیشینگ استفاده می شود

شماره 2 2023 اخبار، امنیت سایبری

اکنون مجرمان سایبری برای جستجوی اعتبارنامه های شرکتی، لینک های فیشینگ را در فایلی روی سرور شیرپوینت ربوده شده پنهان می کنند و با استفاده از مکانیزم اعلان بومی توزیع می کنند. چنین ایمیل هایی در دور زدن فیلترهای هرزنامه بهتر عمل می کنند و قانع کننده تر به نظر می رسند، به خصوص اگر شرکتی از این سرویس استفاده کند.

چگونه شرکت ها می توانند خطرات این نوع فیشینگ را کاهش دهند

نحوه عملکرد فیشینگ از طریق اعلان های شیرپوینت

اخیراً کارشناسان کسپرسکی بیش از 1600 اعلان مخرب را با قربانیان احتمالی در اروپا، آمریکای شمالی و سایر مناطق مشاهده کردند. اگرچه مقیاس حملات هنوز گسترده نیست، اما شرکت ها باید از طرح جدید آگاه باشند و خطرات را از قبل کاهش دهند.

فیلترهای هرزنامه تقریبا همیشه قادر به شناسایی ایمیل های فیشینگ با یک لینک در متن نامه هستند، بنابراین مجرمان سایبری به طور مداوم ابزارهای خود را اصلاح می کنند تا راه حل های امنیتی را دور بزنند. در حال حاضر، آنها نه تنها پیوندهای فیشینگ را در سرور شیرپوینت، مانند طرح‌های شناخته شده قبلی، پنهان نمی‌کنند، بلکه آن را با استفاده از اعلان‌های قانونی شیرپوینت توزیع می‌کنند.

اگرچه چنین نامه های فیشینگ قانع کننده هستند، اما با مجموعه ای از پرچم های قرمز قابل تشخیص هستند که می توان آنها را برای کارمندان توضیح داد.

یک کارمند یک اعلان استاندارد شیرپوینت دریافت می کند که می گوید شخصی یک فایل OneNote را با آنها به اشتراک گذاشته است. این ایمیل کاملاً قانونی است و می‌تواند راحت‌تر از یک پیوند فیشینگ پنهان شده در سرور شیرپوینت، فیلتر هرزنامه را دور بزند.

این پیوند فیشینگ به یک وب‌سایت فیشینگ منتهی می‌شود که صفحه ورود Microsoft OneDrive را تقلید می‌کند. مجرمان سایبری از آن برای سرقت اطلاعات حساب های ایمیل مختلف مانند Yahoo!، AOL، Outlook، Office 365 و غیره استفاده می کنند.

یک کارمند پیوند را دنبال می‌کند، جایی که فایل OneNote ذکر شده باز می‌شود، اما بدنه یادداشت حاوی «اعلان» دیگری با نمادی بزرگ از نوع دیگری از فایل (مثلاً PDF) و یک پیوند فیشینگ استاندارد است.

این ترفند با استفاده از اعلان‌های قانونی، هوشیاری حتی کارمندان فن‌آور را نیز از بین می‌برد. اعلان‌ها از طرف خدمات یک شرکت واقعی ارسال می‌شوند و شک و شبهه‌ای ایجاد نمی‌کنند، به خصوص اگر شرکت از شیرپوینت به عنوان بخشی از روال روزمره خود استفاده کند.

“برای شروع، فایل و همچنین فرستنده ناشناخته است. همکاران معمولا اسناد را بدون مقدمه به اشتراک نمی گذارند. پرچم های قرمز بیشتری وجود دارد: پیوندی به فایل OneNote در اعلان و فایل PDF در سرور ظاهر می شود. علاوه بر این، لینک دانلود به یک سایت شخص ثالث منتهی می‌شود و آدرس وب هیچ ارتباطی با سازمان قربانی یا سرور شیرپوینت ندارد. سایت فیشینگ صفحه ورود به سیستم OneDrive را تقلید می‌کند، که یکی دیگر از خدمات مایکروسافت است. رومن ددنوک، کارشناس تجزیه و تحلیل هرزنامه در کسپرسکی توضیح می دهد که برای ایمن ماندن، باید در مورد همه ایمیل های مشکوک احتیاط کرد و مراقب چنین تناقضاتی بود.