Fałszywe powiadomienie SharePoint. Jak wygląda phishing prowadzący do przejęcia konta Microsoft 365

2026-04-03

TL;DR

Fałszywe powiadomienie SharePoint może wyglądać jak zwykła wiadomość o udostępnionym pliku, komentarzu albo prośbie o szybkie sprawdzenie dokumentu. Problem zaczyna się wtedy, gdy taki komunikat prowadzi do procesu, który kończy się przejęciem konta Microsoft 365 albo sesji logowania.

Ten scenariusz jest groźny także wtedy, gdy użytkownik widzi znaną markę i pozornie poprawne logowanie. Samo logo, znajomy układ strony i rutynowy temat nie wystarczą, by uznać wiadomość za bezpieczną.

Na czym polega fałszywe powiadomienie SharePoint

W tym modelu ataku wszystko zaczyna się od wiadomości, która przypomina standardowe udostępnienie dokumentu w SharePoint. Odbiorca widzi znany kontekst pracy z plikami, więc łatwo zakłada, że chodzi o zwykły dokument do otwarcia, akceptacji albo krótkiego sprawdzenia. Czasem w wiadomości pojawia się link, a czasem kod QR, który ma przenieść użytkownika do dalszego etapu.

Najważniejsze jest to, że taki phishing nie zawsze prowadzi do topornej, oczywiście fałszywej strony. W części przypadków użytkownik przechodzi przez wiarygodnie wyglądający proces związany z Microsoft 365, a napastnik wykorzystuje ten moment do przejęcia dostępu. Szerzej mechanikę podobnych scenariuszy opisano we wpisie o phishingu omijającym MFA.

Jak działa taki atak krok po kroku

Najpierw do skrzynki trafia wiadomość, która wygląda jak rutynowe udostępnienie pliku albo prośba o wgląd w dokument. Jej siła nie bierze się z technicznej złożoności, tylko z dobrze dobranego kontekstu. Użytkownik ma odnieść wrażenie, że robi dokładnie to, co i tak robił już wcześniej wiele razy.

Potem odbiorca klika link albo skanuje kod QR i trafia do kolejnego etapu. Tam widzi ekran zachęcający do logowania lub potwierdzenia dostępu. W praktyce właśnie ten moment ma uśpić czujność i przekonać, że chodzi o zwykłą czynność związaną z dokumentem, a nie o próbę przejęcia konta.

Według raportu Abnormal AI taki łańcuch może prowadzić do przechwycenia logowania, przejęcia sesji albo zdobycia trwałego mechanizmu dostępu do konta. Dla użytkownika wszystko wygląda zwyczajnie, ale po drugiej stronie ktoś właśnie uzyskuje możliwość dalszego działania w skrzynce, dokumentach lub innych usługach Microsoft 365.

Po czym poznać, że wiadomość może być fałszywa

Pierwszy sygnał ostrzegawczy to brak kontekstu. Jeżeli nie czekałeś na żaden dokument, nie rozpoznajesz nadawcy albo temat nie pasuje do tego, co właśnie robisz, nie warto działać odruchowo. Fałszywe powiadomienie SharePoint najczęściej wygrywa właśnie wtedy, gdy odbiorca traktuje wiadomość jak coś oczywistego.

Drugi sygnał to presja czasu. Komunikat może sugerować pilne sprawdzenie pliku, szybkie potwierdzenie albo natychmiastowe przejście do dokumentu. Taki pośpiech nie pomaga w pracy, tylko skraca moment refleksji, w którym można byłoby zauważyć niespójność.

Trzeci sygnał to nietypowy sposób przejścia dalej. Jeżeli zamiast zwykłego obiegu pracy pojawia się kod QR, niespodziewane logowanie albo prośba o wykonanie dodatkowej czynności bez jasnego powodu, trzeba zatrzymać się i sprawdzić szczegóły. Dobrym ćwiczeniem na takie sytuacje jest też nasz krótki quiz phishingowy, bo w praktyce o wyniku często decydują drobne sygnały, a nie duże czerwone alarmy.

Co zrobić jako odbiorca

Jeżeli jeszcze nie kliknąłeś, nie otwieraj linku i nie skanuj kodu QR. Najbezpieczniej wejść do środowiska Microsoft 365 samodzielnie, z zapisanej zakładki albo przez ręcznie wpisany adres, i dopiero tam sprawdzić, czy rzeczywiście czeka na Ciebie nowy dokument.

Jeżeli kliknąłeś, ale nie podałeś danych ani niczego nie zatwierdziłeś, zamknij stronę i zgłoś wiadomość do IT lub Security. Taka informacja nadal ma wartość, bo pozwala szybciej zablokować podobne próby w organizacji i ostrzec inne osoby.

Jeżeli przeszedłeś logowanie albo potwierdziłeś dostęp, potraktuj sprawę jak incydent bezpieczeństwa. Nie odkładaj zgłoszenia na później, nie licz, że nic się nie stało i nie próbuj samodzielnie ocenić, czy atak był skuteczny. Im szybciej zespół techniczny dostanie sygnał, tym większa szansa na ograniczenie skutków.

Jak firmy powinny przygotować pracowników i reakcję

W organizacji nie wystarczy sama wiedza, że phishing istnieje. Potrzebny jest prosty nawyk: zatrzymanie się, zgłoszenie i szybka reakcja. Właśnie dlatego szkolenia powinny dotyczyć nie tylko rozpoznawania podejrzanych wiadomości, ale też tego, co zrobić po kliknięciu, komu zgłosić incydent i jak nie ukrywać pomyłki.

Po stronie IT i Security taki przypadek trzeba traktować szerzej niż zwykłe podejrzane logowanie. Microsoft opisał podobny scenariusz w analizie kampanii SharePoint i AiTM, gdzie po przejęciu dostępu napastnicy tworzyli reguły skrzynki, ukrywali ślady i wykorzystywali prawdziwe konto do dalszego phishingu. To ważna wskazówka, bo sam reset hasła może nie wystarczyć.

W praktyce reakcja powinna obejmować sprawdzenie logów logowania, unieważnienie aktywnych sesji, przegląd zmian MFA, kontrolę reguł skrzynki oraz ocenę, czy z konta nie wyszły już kolejne wiadomości phishingowe. Jeżeli chcesz zobaczyć pokrewny scenariusz z Microsoft 365, zobacz też nasz materiał o przejęciu konta Microsoft 365 w kampanii z użyciem Railway.

Na końcu i tak wracamy do ludzi oraz procesu. Dobrze przygotowana firma nie zakłada, że nikt nigdy nie kliknie. Zakłada, że pojedynczy błąd musi być szybko zauważony, zgłoszony i obsłużony tak, by nie zamienił się w przejęcie skrzynki, wyciek danych albo dalsze podszycia.