Фишинговая атака нацелена на пользователей DocuSign и SharePoint
Эксперты кибербезопасности из Bitdefender Antispam Lab в прошлую среду предупредили о кампании фишинговых атак на популярные облачные приложения DocuSign и SharePoint. Задачей этих атак является кража учетных данных пользователей.
В своем блоге команда Bitdefender заявила, что первая из таких атак была обнаружена 24 июня и, по всей видимости, исходила из Соединенных Штатов. По данным исследователей, 33% из всех поддельных электронных писем достигли адресатов в США, 26% - в Ирландии, 14% - в Корее, 12% - в Швеции, 5% - в Дании и по 1% - в Финляндии, Великобритании и Индии.
В большинстве подложных электронных писем фигурирует Covid-19 в качестве фактора, побуждающего пользователей нажать на ссылку. Например, в одном из писем вниманию получателя предлагался документ с названием: "Фонд помощи в связи с коронавирусом, утвержденный советом директоров". Ссылка направляет пользователя на поддельную веб-страницу, имитирующую DocuSign, где ему предлагается войти в свою учетную запись Adobe для просмотра документа.
Эй Джей Кинг (A.J. King), директор по информационной безопасности фирмы BreachQuest, считает важнейшими в списке мер предотвращения этих атак безопасные шлюзы электронной почты, многофакторную аутентификацию, а также доменную аутентификацию сообщений, отчетность и соответствие (DMARC).
Он также отметил, что ни одна этих мер не гарантирует безопасности, поэтому организациям следует вкладываться в обучение персонала быстрому распознаванию признаков фишинга. Также, Кинг рекомендует снабдить корпоративные почтовые клиенты кнопкой Report Phish, нажав на которую можно быстро оповестить специалистов о полученном подозрительном письме. Эту кнопку можно интегрировать с защищенным шлюзом корпоративной e-mail, чтобы он мог выполнять анализ электронных отправлений в песочнице и блокировать их при выявлении вредоносного содержимого с уведомлением службы безопасности предприятия.
"Компании также должны иметь группу обеспечения безопасности, оснащенную всем необходимым для отслеживания журналов предупреждений о невозможных географических путешествиях, входах в систему из нового места или о подозрительной активности пользователей, - сказал Кинг. - Они могут быстро принимать экстренные меры, чтобы отозвать скомпрометированные учетные данные пользователей, сбросить токены и искать признаки дальнейшего взлома".
