Legitieme SharePoint-meldingen gebruikt voor phishing
29 maart 2023 -
Cybercriminelen verbergen nu phishing-links in een bestand op een gekaapte Sharepoint-server in hun jacht naar bedrijfsgegevens. En dit bestand verspreiden ze via het notificatiemechanisme van Sharepoint. Dergelijke e-mails zijn beter in het omzeilen van spamfilters en lijken overtuigender, vooral als het bedrijf deze dienst gebruikt.
Onlangs hebben Kaspersky-experts meer dan 1.600 kwaadaardige meldingen waargenomen met potentiële slachtoffers in Europa, Noord-Amerika en andere regio's. Hoewel de schaal van de aanvallen nog niet massaal is, moeten bedrijven zich bewust zijn van deze nieuwe constructie en de risico's vooraf beperken.
Omdat spamfilters bijna altijd in staat zijn om phishing e-mails met een link in de inhoud van de e-mail te detecteren, verfijnen cybercriminelen voortdurend hun tools om te proberen securityoplossingen te omzeilen. Nu verbergen ze de phishing-links niet alleen op een SharePoint-server, zoals in eerder bekende constructies, maar verspreiden ze deze via legitieme SharePoint-meldingen. Een security-oplossing van Kaspersky filterde tussen december 2022 en februari 2023 meer dan 1.600 schadelijke meldingen. Cybercriminelen probeerden gegevens te onderscheppen van bedrijven in Nederland, Oostenrijk, Frankrijk, India, Italië, Japan, Rusland, Singapore, Zuid-Korea, Spanje en de VS.
Deze truc met legitieme meldingen maakt zelfs technisch onderlegde werknemers waakzaam. Meldingen worden verstuurd namens de diensten van een echt bedrijf en roepen geen twijfels op, zeker niet als het bedrijf SharePoint gebruikt als onderdeel van de dagelijkse routine.
Hoe phishing via SharePoint-meldingen werkt
Een werknemer ontvangt een standaard SharePoint-melding waarin staat dat iemand een OneNote-bestand met hem heeft gedeeld. Deze e-mail is absoluut legitiem en kan het spamfilter gemakkelijker omzeilen dan een phishing link die op een SharePoint-server is verborgen.
Een werknemer klikt op de link, waarbij het genoemde OneNote-bestand wordt geopend, maar de inhoud van de notitie bevat een andere 'notificatie' met een groot pictogram van een ander type bestand (bijvoorbeeld PDF) en een standaard phishing-link.
Deze phishing-link leidt naar een phishing-website die de Microsoft OneDrive-inlogpagina nabootst. Cybercriminelen gebruiken deze om de inloggegevens te stelen voor verschillende e-mailaccounts, zoals Yahoo!, AOL, Outlook en Office 365.
Hoe bedrijven de risico's tegen dit soort phishing kunnen beperken
Hoewel dergelijke phishing e-mails overtuigend zijn, kan men ze onderscheiden door een reeks waarschuwingssignalen die aan werknemers uitgelegd kunnen worden.
"Om te beginnen is het bestand onbekend, evenals de afzender. Collega's delen normaal geen documenten zonder intro. Er zijn meer waarschuwingssignalen: een link naar het OneNote-bestand in de notificatie en het PDF-bestand verschijnt uit het niets op de server. Bovendien leidt de downloadlink naar een site van een derde partij, waarvan het webadres niets te maken heeft met de organisatie of SharePoint-server van het slachtoffer. De phishing-website bootst inlogpagina's na voor OneDrive, een andere Microsoft-dienst die niet gerelateerd is aan SharePoint. Het is daarom noodzakelijk om voorzichtig te zijn met alle verdachte e-mails en te letten op dergelijke inconsistenties," legt Roman Dedenok, Spam Analysis Expert bij Kaspersky, uit.
Lees meer over phishing met SharePoint-meldingen op de Kaspersky-blog.