Центр защиты от фишинга Cofense (PDC) выявил новую изощренную схему мошенничества, в которой злоумышленники используют сервисы Atlassian для обхода защитных механизмов корпоративных почтовых систем. Атака направлена на сотрудников компаний, которым приходят письма, имитирующие уведомления о платежных переводах. В сообщениях фигурирует слово "SharePoint", что придает письмам видимость легитимности и повышает доверие жертв.
Описание
Согласно отчету Cofense, мошенники создают пользовательские URL-адреса на платформе Atlassian, которые перенаправляют пользователей на поддельную страницу через сервис Google Translate. Это позволяет злоумышленникам скрыть истинный источник угрозы и обойти традиционные системы фильтрации электронной почты (SEG). В письмах содержится кнопка "Обзор документа", при нажатии на которую жертва попадает на вредоносную страницу, размещенную на домене Atlassian.
На первый взгляд, страница выглядит безобидно: при наведении курсора на кнопку "Preview Document Here" отображаются размытые изображения, имитирующие документы. Однако после клика пользователь перенаправляется на фишинговый сайт, замаскированный под легитимный ресурс через Google Translate. Здесь жертве предлагается подтвердить свою личность, введя учетные данные Microsoft. Таким образом, злоумышленники получают доступ к корпоративным аккаунтам, что может привести к утечке конфиденциальной информации, финансовым потерям и другим серьезным последствиям.
Эксперты по кибербезопасности отмечают, что подобные атаки становятся все более изощренными. Использование популярных сервисов, таких как Atlassian и Google Translate, позволяет злоумышленникам избегать блокировки антифишинговыми системами. Кроме того, социальная инженерия играет ключевую роль в успехе таких кампаний: сотрудники, привыкшие к регулярным уведомлениям о платежах и документах, с большей вероятностью перейдут по ссылке, не заподозрив подвоха.
Cofense рекомендует компаниям усилить обучение сотрудников по вопросам кибербезопасности, внедрять многофакторную аутентификацию (MFA) и регулярно обновлять системы защиты. Также важно использовать решения для анализа поведения пользователей, которые могут выявлять подозрительную активность, даже если письмо формально не содержит явных признаков фишинга.
Данный инцидент в очередной раз демонстрирует, что киберпреступники постоянно совершенствуют свои методы, а традиционные средства защиты уже не всегда эффективны. Организациям необходимо применять комплексный подход, сочетающий технические решения и повышение осведомленности сотрудников, чтобы минимизировать риски подобных атак.
Индикаторы компрометации
URLs
- https://csb-p44y4q-netlify-app.translate.goog/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
- https://prism-thin-fear-glitch-me.translate.goog/remittanceex.html
- https://remittancepaymentnotification.atlassian.net/l/cp/mTeibV2o
