Asurgent cybersäkerhetsblogg: Phishing via SharePoint – ett växande hot mot organisationer

Just nu pågår det en phishingkampanj som syftar till att stjäla inloggningsuppgifter till Microsoft 365 (O365). Angriparna använder redan komprometterade användarkonton för att sprida skadligt innehåll – främst i form av PDF- och OneNote-filer – via SharePoint-miljöer som tillhör dessa konton.

Det som gör denna kampanj särskilt farlig är att den bygger på legitim Microsoft-infrastruktur. Både avsändaradressen och länkarna i mejlet är autentiska och pekar mot faktiska SharePoint-webbplatser inom den drabbade organisationen. Därmed kringgår attacken Microsofts inbyggda säkerhetsfilter, inklusive SPF, DKIM och DMARC.

För att ytterligare undgå upptäckt utnyttjar angriparna SharePoints funktion för säker delning av dokument, där mottagaren måste verifiera sig med en engångskod (TOTP, Time-based one-time password) skickad till sin e-postadress. Detta ökar trovärdigheten och försvårar för automatiserade skyddssystem att upptäcka attacken. Dessutom skickas delningslänkarna ofta till kontakter i den komprometterade användarens adressbok, vilket ytterligare ökar chansen att mottagaren litar på avsändaren - och därmed också klickar på länken.

Så går attacken till

Steg 1: Det första mejlet

Mottagaren får ett SharePoint-mejl med en delningslänk från en komprometterad användare – ofta någon personen eller organisationen redan har haft kontakt med. Eftersom mejlet skickas från en legitim e-postadress och innehåller en riktig SharePoint-länk, klarar det sig förbi de flesta filter mot skräppost och nätfiske.

Steg 2: Inloggning med engångskod

Vid klick på länken dirigeras användaren till Microsofts vanliga inloggningssida för säker dokumentdelning. Där ombeds de att verifiera sin identitet med en engångskod (TOTP) som skickas till deras e-post. Denna funktion är en del av Microsofts legitima säkerhetsfunktioner och används här för att stärka trovärdigheten i bluffen.

Steg 3: Dokumentet med dold länk

När engångskoden angetts och dokumentet öppnas på den riktiga SharePoint-sidan, presenteras mottagaren för ytterligare en länk i dokumentet – ofta med uppmaningar som "Klicka här för att visa hela dokumentet" eller "Ladda ner". Denna länk leder i själva verket till en falsk inloggningssida.

Steg 4: Inmatning av inloggningsuppgifter

Den falska inloggningssidan efterliknar Microsofts O365-portal in i minsta detalj. Om användaren anger sina inloggningsuppgifter skickas dessa direkt till angriparen, och kontot är därmed komprometterat.

Rekommenderade åtgärder

För hela organisationen:

• Informera medarbetare: Skicka ut en varning om denna specifika attackmetod. Rekommendera även att hovra muspekaren över hyperlänkar för att se vart en länk faktiskt leder till - det är viktigare än vad man tror, och kan förhindra att ett konto blir komprometterad.
• Utbildning och simulering: Inkludera detta angreppssätt i företagets säkerhetsutbildning och nätfiskeövningar för att höja medvetenheten.

Om en användare har blivit komprometterad:

• Byt lösenord och återställ aktiva sessioner: Rotera lösenordet för det drabbade kontot omedelbart och återställ sessionerna för användaren
• Granska kontot aktivitet: Gå igenom kontots aktiviteter för att kontrollera ifall hotaktören kom åt några filer, eller ifall hotaktören skickade nya skadliga mail från det drabbade kontot.
• Informera andra användare: Kontakta samtliga som fått dokument från det komprometterade kontot och uppmana dem att inte öppna några länkar utan att ha bekräftat deras legitimitet.
• Gör en bredare analys: Utvärdera om fler konton eller system kan ha blivit påverkade och initiera incidenthantering.