Эксперты «Лаборатории Касперского» рассказали о выявленной ими мошеннической схеме, в которой задействуются сервера SharePoint. Целью злоумышленников в данном случае является захват логинов и паролей от email-аккаунтов и не только. По данным специалистов, за минувшую зиму было обнаружено не менее 1600 подобных писем с фишинговыми ссылками – жертвами становились, в том числе, и пользователи из России.

Главной особенностью описываемой схемы является возможность обхода защищающих от спама фильтров, поскольку хакеры не только скрывали вредоносные ссылки на серверах SharePoint, но и распространяли их при помощи используемого по-умолчанию механизма рассылки уведомлений. Для начала атаки преступникам требовалось лишь получить доступ к чьему-либо серверу SharePoint, например, при помощи социальной инженерии или альтернативного метода фишинга.

Если жертва переходит по присланной злоумышленниками ссылке, то она изначально попадает на настоящий сервер SharePoint, где расположен файл с иконкой PDF. Пользователь, как правило, на него кликает, и попадает уже на вредоносный фишинговый ресурс – к примеру, имитирующий OneDrive. Как считают в «Лаборатории Касперского», данная схема довольно опасна, поскольку уведомления приходят от легитимного сервиса реальной компании. Тем не менее, внимательный сотрудник, соблюдающий правила сетевой безопасности, может на нее и не попасться.