A OneNote – a támadók új kedvence
A Microsoft 365 részeként a OneNote-ot sok helyen alapvető, bizalmi alkalmazásként kezelik, ráadásul a védelmi eszközök sem fordítanak rá akkora figyelmet, mint például a Wordre vagy az Excelre. Bár makrók futtatására nem alkalmas, formázási lehetőségei kiváló terepet biztosítanak a megtévesztő, manipulált tartalmak (linkek, csatolmányok) elrejtéséhez.
Fontos megjegyezni, hogy a OneNote-fájlokat nem vizsgálják át automatikusan, így a támadók számára ideális eszközzé vált a natív adathalászathoz, amikor a szociális manipuláció már hatékonyabb, mint a technikai támadások. Egy 1000 szervezetet vizsgáló elemzés szerint a valóságban szinte mindegyikük sebezhető, és 99%-uknál található olyan érzékeny adat, amelyet MI-alapú eszközökkel pillanatok alatt fel lehet deríteni.
Egy felhasználó, egy OneNote, rengeteg áldozat
Az utóbbi időben egyre több olyan incidenst láthattunk, amikor egyetlen dolgozó adatait szerezték meg adathalászat útján, majd a támadó a feltört fiókból, OneDrive-on keresztül, valódi Microsoft rendszeren belüli fájlmegosztás eszközével kezdte terjeszteni a csalás következő körét. Nem álcázott címről, hanem a megtévesztett kolléga nevében, hivatalos értesítés formájában érkezett az e-mail a szervezet tagjaihoz.
Ennek következtében bárki, aki a “kollégától” érkező linkre kattintott, egy megtévesztően valósághű, de hamis bejelentkezési oldalon találta magát. A csalók egy olyan weboldalépítő platformot használtak (Flazio – ingyenes MI-oldalépítő), amely néhány perc alatt lehetővé tette egy valódinak tűnő formanyomtatvány elkészítését. A hamis oldal szinte teljesen megegyezett a valódi vállalati oldallal, így természetesen azonnal ellophatták a beírt hitelesítő adatokat is.
Egyre több a hasonló támadás: a bűnözők no-code platformok – például a Flazio vagy más ingyenes szoftver – szolgáltatásainak segítségével percek alatt, díjmentesen hoznak létre teljesen testreszabott, valódinak látszó adathalász oldalakat. Olyan oldalakat is láttunk, amelyek Adobe-dokumentumok megtekintését ígérték, de valójában csak átirányították a gyanútlan felhasználókat a csaló bejelentkezési oldalra.
Mit lehet tenni a védelemért?
Első körben célszerű bevezetni a többfaktoros hitelesítést (MFA) és a feltételes hozzáférést, így az ellopott jelszavak önmagukban nem vezethetnek azonnali sikerhez. Javasolt rendszeresen adathalász (phishing) és hangalapú átverés (vishing) szimulációkat szervezni, akár a vezetők számára is. Fontos, hogy a gyanús eseményeket könnyen lehessen jelenteni, és korlátozzuk a szükségtelen belső fájlmegosztást. Ahol lehetséges, érdemes figyelmeztetéseket beállítani a szokatlan fájlmegosztási tevékenységekre, illetve monitorozni a forgalmat a népszerű no-code oldalépítők felé.
Fokozott figyelem a védekezés kulcsa
A védekezéshez elengedhetetlen felismerni: a támadók már nemcsak technikai eszközökkel, hanem emberi manipulációval és modern platformokkal is támadnak. Ezért az informatikai rendszerek mellett az emberek tudatosságának növelése is legalább ilyen fontos. A biztonság már rég nem csak a rendszerek, hanem az emberek védelmét is jelenti.
Automatikus figyelőrendszerekkel – például a Varonis eszközeivel – folyamatosan nyomon követhető, milyen gyanús tevékenységek zajlanak a szervezetben, és a csapat bármilyen incidens esetén azonnali támogatáshoz juthat. Az ilyen típusú támogatás már 0-24 órában elérhető, így megelőzhető a jelentősebb adatvesztés vagy károkozás.
