Az elmúlt években az adathalász támadások fejlődése egyértelműen rávilágít arra, hogy a kiberbűnözőknek nem feltétlenül van szükségük kifinomult exploitokra, ehelyett sokkal inkább a bizalom megszerzésére fókuszálnak. A mesterséges intelligencia és a no-code platformok térnyerésével a támadók adathalász eszköztára a bizalom kiépítésében és a felhasználók megtévesztésében még soha nem volt ennyire hatékony. A fenyegetést jelentő szereplők a megbízhatónak tartott, alapértelmezett eszközöket ingyenes és legitim szolgáltatásokkal ötvözik, hogy megkerüljék a hagyományos biztonsági védelmi mechanizmusokat és megtévesszék a felhasználókat.
„Natív adathalászat”
A klasszikus módszerek, mint például a rosszindulatú mellékleteket tartalmazó e-mailek továbbra is jelen vannak, azonban a támadók ma már a megszokott, szervezeten belüli együttműködési funkciókat is támadási célokra használják. A „natív adathalászat” lényege, hogy a rosszindulatú tartalom olyan csatornán keresztül érkezik, ami a felhasználó számára teljesen természetesnek és biztonságosnak tűnik.
Egy tipikusan ilyen támadási folyamat során a támadó megszerzi egy belső felhasználó Microsoft 365 hitelesítő adatait, majd pedig a beépített fájlmegosztási funkciók segítségével terjeszti a kártékony tartalmat. A fogadó fél egy valódi, Microsoft által küldött értesítést lát, amely ráadásul egy kollégától érkezik. Ez a módszer különösen megbízhatónak tűnik és csak ritkán eredményez biztonsági riasztást.
Hogyan használják ki a támadók a OneNote-ot?
A Microsoft OneNote – bár a legtöbb szervezetben alapértelmezett és megbízhatónak tekintett alkalmazás – egyre gyakrabban válik támadási vektorrá.
Miért hatékony?
- Nem tartozik a „Protected View” védelem alá
- Rugalmas formázásával könnyen létrehozható a megtévesztő felület
- Támogatja a beágyazott hivatkozásokat és fájlokat
Ezek a tulajdonságok lehetővé teszik, hogy a támadók makrók helyett társadalmi manipulációra építsenek, megkerülve a technikai védelmi rétegeket.
A támadás menete lépésről lépésre (1. ábra)
- Fiók kompromittálása – klasszikus adathalász e-mail vagy más módszer segítségével.
- Kártékony OneNote dokumentum létrehozása – a támadó a OneDrive-on belül, a felhasználó mappájában dolgozik.
- Belső megosztás – a OneDrive beépített értesítése révén a címzettek hivatalos Microsoft üzenetet kapnak.
- Hitelesítő adatok begyűjtése – a megnyitott hivatkozás egy megtévesztően valósághű, no-code platformon létrehozott hamis bejelentkezési oldalra viszi a felhasználót.
- Oldal klónozása AI/no-code eszközökkel.
Az ilyen módszerek különösen veszélyesek, mert nem igényelnek fejlett technikai tudást, viszont kihasználják a felhasználók bizalmát és a rutinszerű cselekvéseiket.
Egy megtörtént incidens során a támadó a megszerzett M365 fiókból létrehozott egy OneNote fájlt az áldozat OneDrive mappájában, és ebbe ágyazta be a következő adathalász lépcsőt jelentő hivatkozást (2. ábra). A dokumentum megosztásával (3. ábra) a támadó belső, megbízhatónak tűnő értesítéseket (4. ábra) küldött ki az egész szervezetnek.
Miért hatékonyabb ez a módszer, mint a klasszikus phishing?
A hagyományos adathalász levelek gyakran kiszűrhetők a feladó ellenőrzése vagy fejléc-analízis alapján. A natív adathalászat ezzel szemben belső forrásból érkezik, a címzett számára jól ismert platformon keresztül, így minimális a gyanakvás esélye. Ráadásul a támadó azonnal több száz vagy ezer felhasználót is elérhet, ha a megosztás szervezeti szintű.
Védekezési stratégiák
A natív adathalászat elleni védelem kulcsa a felhasználói tudatosság növelése és a technikai kontrollok erősítése:
- Többlépcsős hitelesítés (MFA) és feltételes hozzáférés minden fióknál
- Rendszeres adathalász- és vishing-szimulációk minden munkavállalói szinten
- Egyszerű bejelentési csatornák gyanús eseményekre
- Microsoft 365 megosztási beállítások szigorítása
- Riasztások beállítása szokatlan fájlmegosztási tevékenységre
- No-code platformok forgalmának monitorozása
