GetShared теперь «GetОбход»: фишинг мимикрирует под сервис

getshared фишинг касперский уведомление корпоративная почта Лаборатория Касперского
GetShared теперь «GetОбход»: фишинг мимикрирует под сервис
getshared фишинг касперский уведомление корпоративная почта Лаборатория Касперского

Письмо с файлом, кнопка «Скачать», а дальше — социальная инженерия в действии .

image

Специалисты «Лаборатории Касперского» предупредили о фишинговых атаках с использованием легитимного сервиса обмена файлами GetShared. Инцидент был выявлен после того, как бывший сотрудник компании получил подозрительное уведомление от этого сервиса. Письмо содержало ссылку на архив с названием DESIGN LOGO.rar, а в сопроводительном тексте говорилось о якобы деловом запросе: уточнении цен, сроков доставки и условий оплаты.

Пример письма. Источник

Получатель не стал переходить по ссылке, а передал письмо специалистам. Анализ показал, что уведомление действительно рассылалось через GetShared, и на момент публикации этот сервис всё чаще используется киберпреступниками для обхода почтовых фильтров. Письма от GetShared выглядят как обычные нотификации: содержат название отправленного файла, краткий текст и кнопку перехода к файлу. Это позволяет злоумышленникам «замаскировать» атаку под легитимный документооборот.

Как объясняют специалисты, киберпреступники часто выбирают легитимные платформы, чтобы обойти почтовые фильтры и защиту шлюзов. Для этих целей используются такие сервисы, как Google Calendar, Dropbox и другие. С усложнением фильтров и правил регистрации на крупных сервисах, злоумышленники ищут новые обходные пути, и сейчас их внимание привлек именно GetShared.

Главная цель подобных писем — вовлечь получателя в переписку. Даже если файл из письма не содержит вредоносного кода, киберпреступники надеются начать коммуникацию, чтобы впоследствии использовать методы социальной инженерии. В некоторых случаях ссылка ведёт на заражённый файл, в других — на ресурс с фишинговой формой или исполняемым вложением.

В случае с письмом на имя бывшего сотрудника настораживает несоответствие между названием архива и содержанием сообщения. В тексте говорилось о товарах и ценах, тогда как имя файла указывает на дизайн-проект. Также внимание привлек адрес отправителя — простой поиск домена показал, что он связан с мошеннической активностью.

Эксперты подчеркивают: использование стороннего сервиса для первоначального контакта, без предварительного делового диалога, — уже повод для сомнений. При этом ни один из крупных клиентов, в случае необходимости передачи файлов, не начнёт взаимодействие с нотификации от третьего сервиса без предварительной договорённости.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887