電郵中載有釣魚連結這種技倆已經使用多年,電郵過濾的偵測率也相當高,所以網絡犯罪份子持續研發新的方法,目標是取得商業機構的登入憑證,近期研究人員便發現了透過完全合法的SharePoint伺服器作案。
SharePoint的網絡釣魚
首先,員工會收到一封標準的通知某人分享了一個檔案,對普遍辦公室員工而言並不可疑,尤其公司本身正使用SharePoint,因為訊息是來自真實的SharePoint伺服器。如果員工不虞有詐點擊連結並被帶到SharePoint伺服器,將會看到事先準備好的OneNote檔案,內裡看似是另一個檔案通知以及一個超級巨大的PDF icon,假設這是下載的下一個步驟,受害者點擊連結,便是最標準的網絡釣魚。
事實上該連結會把受害者帶到偽裝成OneDrive登入網頁的釣魚網站,能夠盜取Yahoo!、AOL、Outlook、Office 365和其他電郵服務。
特別危險的原因
其實今次並非SharePoint第一次被用作網絡釣魚,不過今次不但把釣魚連結隱藏在SharePoint伺服器,也「善用」了平台發出通知的機制,這功能令用戶能夠與外在無法直接存取伺服器的人士分享檔案,使用方法甚至在公司網站設有教學。
攻擊者只需要取得某人的SharePoint伺服器存取權(使用相同或其他釣魚技倆),然後上載檔案取得連結便可以加入想分享的電郵地址,SharePoint本身便會幫忙通知電郵的主人,而這些通知會順利通過電郵過濾,因為他們來自真實公司的合法服務。
面對來自陌生人的分享提高警剔
要防止員工墮入電郵詐騙陷阱,便需要讓他們學會分辨電郵的真偽,至少要察覺到蛛絲馬跡而提高警剔:
- 當收到陌生人的檔案分享 – 要養成不要打開檔案的習慣。
- 當收到不清楚是甚麼檔案類型 – 在沒有解釋內容和因前都不要打開。
- 電郵聲稱是一個OneNote檔案 – 但伺服器內卻是一個PDF檔。
- 檔案下載連結把用戶帶到第三方網站 – 與受害者公司和SharePoint都無關連更顯得可疑。
- 檔案應該是位於SharePoint伺服器,但網站卻是OneDrive – 他們屬於Microsoft兩個不同的服務。
對員工定期提供網絡安全意識培訓對以上的事前警剔有正面幫助,而同時在公司電郵伺服器及工作裝置配備反網絡釣魚技術的保安方案,也能提升防範攻擊的能力。
資料來源:Kaspersky Blog
