Microsoft и другие компании по кибербезопасности отметили резкий рост атак с использованием легальных файловых хостингов, таких как SharePoint, OneDrive и Dropbox, для проведения сложных фишинговых атак. Злоумышленники, злоупотребляя доверенными сервисами, применяют тактику "LOTS" (living-off-trusted-sites), позволяющую маскировать вредоносную активность под легитимный сетевой трафик, что существенно затрудняет их обнаружение.
Обычно атака начинается с взлома учетной записи поставщика или партнера компании. Затем хакеры рассылают фишинговые письма, маскируя вредоносные файлы под безобидные бизнес-документы. Чтобы открыть доступ, пользователи должны пройти двухфакторную аутентификацию (2FA) с использованием одноразового пароля, что вызывает у них ложное ощущение безопасности. Введя данные, жертвы перенаправляются на фишинговую страницу, где их логины и токены 2FA захватываются.
Согласно Microsoft, такие атаки приводят к серьезным последствиям: компрометации учетных данных, утечке данных и финансовым махинациям. К тому же, украденные данные позволяют злоумышленникам перемещаться по сети компании, угрожая безопасностью всей организации.
Дополнительно стало известно, что для обхода 2FA в этих атаках часто используется фишинговый комплект Mamba, который имитирует страницы входа Microsoft 365 и даже отправляет украденные данные в Telegram, упрощая киберпреступникам задачу проведения фишинговых кампаний.
Компании могут снизить риск успешных атак, проводя регулярные тренинги по кибергигиене и фишингу.
Обучение помогает сотрудникам:
- Определять подозрительные признаки в письмах и документах, даже если они поступают от, казалось бы, доверенных сервисов.
- Понимать, почему важно внимательно проверять ссылки перед переходом по ним, особенно если они требуют ввода учетных данных.
- Быстро сообщать о подозрительных случаях ИТ-отделу, что позволяет оперативно реагировать на возможные угрозы.