محققان شرکت امنیت ابری Avanan از یافتن روشی که فیشرها می توانند از حفاظت های امنیتی Microsoft Office 365 عبور کنند، گزارشی ارائه نموده اند:
** استفاده از “hexidecimal escape characters” و تنظیماتی در فایل های SharePoint برای مخفی کردن کدها و لینک ها.
این روش شامل ایمیل هایی با یک فایل پیوست HTML است که حاوی یک کد جاوا اسکریپت کوچک برای مبهم نشان دادن کدهای هیگزادسیمال می باشد. بنابراین لینکها قابل مشاهده نیستند اما وقتی که باز شود صفحه فیشینگ محلی ای با دستورالعمل هایی برای لاگین نمایش می دهد.
در این مثال، یک ایمیل فیشنیگ دریافت می شود که ظاهرا توسط PayPal ارسال شده و کاربر را به یک صفحه لاگین فیشنیگ هدایت می کند و از او اطلاعاتی مانند نام، تلفن و رمز عبور و … میخواهد. با وارد کردن این اطلاعات و کلیک روی دکمه “submit ” اطلاعات وارد شده بدون اطلاع کاربر، برای مجرمان سایبری ارسال می شود.
Avanan گزارش میدهد که این ایمیل ها به خوبی از شناسایی شدن خود جلوگیری می کنند، زیرا لینک های مخرب آنها مخفی است، صفحه لاگین جعلی تولیده شده و به طور کلی تکنولوژی های sandbox فایل های HTML با یک دکمه Submit را مشکوک در نظر نمی گیرند.
براساس گزارش دیگری از Avanan به طور کلی حمله ای که از SharePoint سوء استفاده می کند، شامل ایمیلی به عنوان یک پیش فاکتور واقعی از سایت خرید آنلاین با یک لینک عمومی باز به Office 365 SharePoint است که یک پلت فرم مشارکتی مبتنی بر وب برای کاربران Microsoft Office می باشد. با کلیک بر روی لینک یک فایل جاوا اسکریپت اجرا می شود که ایستگاه کاری را آلوده می کند.
آوانان می گوید که ایمیل های فیشینیگ از شناسایی شدن اجتناب می کنند زیرا مایکروسافت فایل های SharePoint را امن در نظر می گیرد. اغلب تصور می کنند که فایل های روی SharePoint و OneDrive برای وجود بدافزارها شناسایی می شوند اما واقعیت این است که ابزارهای اسکن مایکروسافت برای Office 365 استفاده می شود نه فایل های داخل SharePoint و OneDrive . حتی اگر بدافزاری یکبار شناسایی شود همان فایل در مکان دیگری در SharePoint مسدود نخواهد شد.
اما مایکروسافت با این ادعای آوانان مخالف است و می گوید فیلترهای مایکروسافت به تکنیک های خاصی که وندور اشاره کرده است بستگی ندارد و راه حل های ما مرتبا این حملات را شناسایی و نشانه گذاری می کنند. به علاوه ما به کاربران توصیه کرده ایم هنگام کلیک کردن روی لینک ها و باز کردن ایمیل های ناشناس احتیاطهای لازم را مدنظر داشته باشند.
Avanan معتقد است که ممکن است پشت این حملات SharePoint مجرمان سایبری چینی باشند زیرا آخرین دامنه مخرب این هفته در چین ثبت شده است.
منبع : https://www.scmagazine.com
