Egyszerű, de hatékony adathalász támadás kerüli meg az Office 365 védelmét

Az Avanan felhőbiztonsági cég egy új masszív adathalász támadási kampányt azonosított az utóbbi két hétben (PhishPoint), ami képes megkerülni a Microsoft Office 365 által bevezetett Advanced Threat Protection (ATP) védelmi mechanizmust. A támadás során az áldozatok egy SharePoint dokumentumra mutató hivatkozást tartalmazó e-mail üzenetet kapnak, ami a linkre való kattintás után több lépésben tovább irányítja őket előbb egy OneDrive fájlra, majd azon keresztül a hamis Office 365 bejelentkezési felületre. A módszer azért működőképes, mert a Microsoft védelme nem képes végigkövetni a hivatkozási láncot, csak az első szintet ellenőrzi, ami ebben az esetben csupán egy SharePoint dokumentum szabványos meghívása. A technika egyszerű, ám az ellene való védekezés több problémát is felvet. Ugyanis még ha a rendszer vizsgálná is a dokumentumok tartalmát, találat esetén azzal a dilemmával szembesülne, hogy vagy az összes SharePoint-os fájlt kitiltja ─ ezzel a legitimeket is ─ vagy csak a káros oldal URL-jét teszi tiltólistára, ami azonban csak ideig-óráig jelent védelmet, hiszen a támadók könnyen létrehozhatnak egy újat. A szakértők fokozott óvatosságot javasolnak az olyan sürgető hangnemű e-mailek esetében, amelyek hiperhivatkozást tartalmaznak, valamint javasolják a kétfaktoros hitelesítés alkalmazását, és a bejelentkezési oldalak webcímének ellenőrzését.