Fejléc

Új módszerrel támadnak a csalók: Microsoft SharePoint alapú adathalászattal

Szerző ikon Csavdári Tibor

Dátum ikon 2025.09.18

Az utóbbi időben jelentősen megnövekedett a Microsoft SharePoint platformot kihasználó adathalász e-mailek száma. Ezek a támadások különösen veszélyesek, mert gyakran olyan ismert partnerektől vagy kollégáktól érkeznek, akikkel munkakapcsolat áll fenn, így első ránézésre megbízhatónak tűnhetnek. Az alábbiakban részletesen ismertetjük, hogyan működnek ezek a támadások, mire kell figyelni, és mit lehet tenni, ha gyanús e-mail érkezik.

Hogyan működik a SharePoint-alapú adathalászat?

Az adathalász e-mailek egy valódinak tűnő Microsoft SharePoint megosztási linket tartalmaznak, amely egy dokumentumhoz vagy mappához biztosít hozzáférést. A link megnyitása után a rendszer arra kér, hogy azonosítsa magát a felhasználó, megadva a felhasználónevét és jelszavát, majd a többfaktoros hitelesítés (MFA) második lépését is kéri (authentikátor alkalmazás). Eddig ez a folyamat megegyezik egy valódi SharePoint-megosztás elérésével, így nehéz észrevenni a csalást.

A veszély akkor kezdődik, ha a hitelesítés után a rendszer ismét azonosítást kér, vagy a megosztott fájlban egy további link található, amely szintén hitelesítést igényel. Ezek a második körös kérések már nem a Microsoft rendszereiből érkeznek, hanem egy adathalász oldalon keresztül próbálják megszerezni az adatokat. Ha ilyen linkre kattintunk, azonnal be kell csukni a böngészőablakot, és értesíteni kell az IT üzemeltetési csapatot, hogy meg tudják tenni a szükséges lépéseket (jelszócsere, MFA újraregisztráció).

Miért különösen veszélyes ez a támadás?

Ez a típusú adathalászat rendkívül kifinomult, mert:

  • Valódi SharePoint-linket használ: A támadók egy legitim Microsoft SharePoint környezetet használnak ki, így a linkek első ránézésre biztonságosnak tűnnek.
  • Kompromittált fiókok használata: A támadók gyakran olyan kollégák vagy partnerek fiókjait használják, amelyeket már korábban feltörtek. Így a megosztás egy ismerős névtől érkezik, ami csökkenti a gyanakvást.
  • Belső támadások lehetősége: Vállalaton belül is előfordulhat, hogy egy feltört kolléga fiókjából küldenek ki adathalász linket. Ezért különösen fontos, hogy minden szokatlan megosztást alaposan ellenőrizzetek.


Mire figyeljünk, és mit tegyünk?

  • Ellenőrizzük a feladót: Ha olyan kollégától vagy partnertől kapunk megosztási linket, akivel nem állunk napi munkakapcsolatban, mindenképpen fel kell venni vele a kapcsolatot (pl. telefonon vagy más csatornán keresztül), hogy meggyőződjünk, valóban ő küldte a linket.
  • Figyeljünk az ismételt azonosítási kérésekre: Ha a SharePoint-link megnyitása után a rendszer újra és újra azonosítást kér, vagy a megosztott fájlban további linkek találhatók, amelyek hitelesítést igényelnek, azonnal szakítsuk meg a műveletet, és zárjuk be a böngészőt.
  • Technikai részletek: Az adathalász oldalak gyakran olyan URL-eket használnak, amelyek nagyon hasonlítanak a hivatalos Microsoft-linkekre (pl. login.microsoftonline.com helyett login.microsoft0nline.com). Mindig ellenőrizni kell az URL-t, és kerülni a gyanús domaineket. Emellett a támadók man-in-the-middle (MITM) technikát is alkalmazhatnak, ahol a hitelesítési adatokat egy köztes szerveren keresztül lopják el.
  • Azonnali teendők gyanús link esetén:
    • Ne adjuk meg újra az adatainkat! Ha már megadtuk a felhasználónevet, jelszót, vagy MFA-kódot, haladéktalanul értesítenünk kell az IT üzemeltetési csapatot.
    • Kérjünk jelszóváltást és MFA újraregisztrációt.
    • Ha a linket egy kolléga küldte, és kiderül, hogy nem ő volt a valódi feladó, mindkettőnek azonnal jelezni kell az IT üzemeltetésnek, hogy a kompromittált fiókot is kezelni tudják, és szükség esetén visszahívhassák a munkamentet.


Hogyan védekezzünk?

  • Használjunk erős, egyedi jelszavakat, és soha ne használjuk ugyanazt a jelszót több helyen.
  • Tartsuk naprakészen az MFA-beállításainkat, és figyeljünk az authentikátor alkalmazás vagy SMS-kód kérések szokatlan időpontjaira.
  • Rendszeresen frissítsük a böngészőt és az eszközeinket, hogy csökkentsük a biztonsági rések kihasználásának esélyét.
  • Ha bizonytalanok vagyunk, inkább ne nyissunk meg semmilyen linket, amíg nem egyeztettünk a feladóval vagy az üzemeltetéssel.


Miért fontos ez?

Az adathalászat célja nem csak az egyéni fiókok feltörése, hanem a teljes vállalati rendszer kompromittálása is lehet! Egy feltört fiók további támadások kiindulópontja lehet, például bizalmas adatok kiszivárogtatásához vagy más kollégák megtévesztéséhez. A gyors reakció és az óvatosság segíthet minimalizálni a károkat.

Ha bármilyen gyanús e-mailt vagy linket észlelünk, azonnal jelezni kell a vállalat IT üzemeltetési és/vagy a SOC csapatának!

Kérdése van, Támadás érte, vegye fel Kollégáinkkal a kapcsolatot!