Phishing w Outlook Groups i kalendarzu

TL;DR

Phishing coraz częściej ukrywa się nie w jednej wiadomości, ale w całym workflow Microsoft 365. Fortra opisuje, jak atakujący mogą używać Outlook Groups, Microsoft 365 Groups, współdzielonych plików i zaproszeń kalendarzowych, aby stworzyć wrażenie normalnej aktywności służbowej. Użytkownik może zostać dodany do grupy, dostać powiadomienie, zobaczyć plik, a później otrzymać przypomnienie w kalendarzu.

Osobny element tego trendu to CalPhishing. W analizie Fortra dotyczącej zaproszeń kalendarzowych opisano kampanie, w których pliki .ics i wydarzenia w kalendarzu dostarczają przynęty dotyczące odnowienia domeny, podpisu cyfrowego albo weryfikacji dostawcy. Taki wpis może pozostać widoczny w kalendarzu nawet wtedy, gdy użytkownik usunie pierwotną wiadomość.

Jak działa phishing w Microsoft 365 Groups

W klasycznym phishingu użytkownik dostaje e-mail i ma kliknąć link. W scenariuszu opisanym przez Fortra atak jest rozciągnięty na kilka elementów. Najpierw ofiara może zostać dodana lub zaproszona do grupy Microsoft 365. Sama grupa może mieć nazwę sugerującą HR, IT Support, payroll, training, supplier action albo contract renewal.

Potem pojawia się treść uzupełniająca: wiadomość z grupy, plik współdzielony, zaproszenie kalendarzowe albo dokument z instrukcją. Użytkownik nie widzi jednego podejrzanego e-maila. Widzi serię zdarzeń w środowisku, którego używa codziennie.

To właśnie zmienia ryzyko. Jeśli coś dzieje się w Outlooku, SharePoint, OneDrive lub kalendarzu, pracownik może traktować to jak część firmowego workflow. Atakujący wykorzystuje nie tylko markę Microsoft, ale też nawyk pracy w Microsoft 365.

Dlaczego kalendarz jest dobrym kanałem ataku

Kalendarz ma inną psychologię niż poczta. E-mail można usunąć, zignorować albo oznaczyć jako spam. Wydarzenie w kalendarzu wygląda jak zadanie do wykonania. Ma datę, godzinę, przypomnienie, opis i często link. Użytkownik może do niego wrócić później, gdy presja czasu jest większa.

Fortra wskazuje, że w kampaniach CalPhishing zaproszenie może działać jako trwały artefakt. Jeśli pierwotna wiadomość zostanie przeniesiona do spamu albo usunięta w miękki sposób, wpis nadal może pozostać w kalendarzu. To oznacza, że przynęta wraca w przypomnieniach i zaczyna wyglądać jak zaległy obowiązek.

W opisanych przykładach pojawiały się motywy odnowienia domeny, podpisu dokumentu i weryfikacji dostawcy. To są tematy, które w firmie naturalnie trafiają do IT, administracji, finansów, zakupów i osób zarządzających usługami online.

Polski kontekst: domeny, HR, dostawcy i szkolenia

W Polsce podobny scenariusz może dotyczyć odnowienia domeny .pl, dostępu do panelu DNS, certyfikatu SSL, nowego szkolenia BHP, obowiązkowego szkolenia cyberbezpieczeństwa, podpisu umowy, weryfikacji dostawcy, danych do faktury albo dokumentu kadrowego.

W firmach korzystających z Microsoft 365 taki atak może wyglądać bardzo zwyczajnie. Pracownik dostaje zaproszenie w Outlooku, widzi wpis w kalendarzu, otwiera udostępniony plik w SharePoint lub OneDrive i trafia na instrukcję logowania. Jeżeli temat brzmi administracyjnie, a kanał jest znany, opór użytkownika spada.

Ten scenariusz dobrze łączy się z tematami już opisanymi na PHISHLY: phishing OAuth w Microsoft Entra ID, phishing kodem urządzenia w Microsoft 365 i ogólne testy phishingowe dla firm. W każdym z nich kluczowy jest moment, w którym użytkownik wykonuje normalnie wyglądającą czynność, ale w złym kontekście.

Co powinien zrobić użytkownik

Użytkownik powinien traktować nieoczekiwane grupy, zaproszenia, pliki współdzielone i wpisy kalendarza tak samo ostrożnie jak e-maile. Jeżeli wydarzenie dotyczy odnowienia domeny, podpisu dokumentu, płatności, HR, szkolenia lub logowania, nie powinno być obsługiwane automatycznie.

Najprostsza zasada: jeżeli nie wiesz, dlaczego zostałeś dodany do grupy lub wydarzenia, nie klikaj linków z opisu. Sprawdź właściciela, kontekst i kanał, którym organizacja zwykle prowadzi taki proces. W razie wątpliwości zgłoś wpis do IT lub Security.

Nie należy zakładać, że link jest bezpieczny, bo pojawia się w kalendarzu lub pliku SharePoint. Kalendarz jest tylko nośnikiem treści. Nie potwierdza, że treść pochodzi od właściwego właściciela procesu.

Co powinny zrobić IT, Security i SOC

Zespoły bezpieczeństwa powinny rozszerzyć model detekcji poza pocztę. Warto monitorować tworzenie i zapraszanie do nietypowych Microsoft 365 Groups, zewnętrzne zaproszenia, masowe dodawanie użytkowników, nieoczekiwane pliki współdzielone, wpisy kalendarza zawierające linki oraz powtarzalne motywy administracyjne.

SOC powinien mieć procedurę usuwania nie tylko wiadomości, ale też artefaktów pozostających w kalendarzu. W przypadku CalPhishing samo przeniesienie e-maila do spamu może nie wystarczyć, jeśli wydarzenie nadal przypomina użytkownikowi o fałszywym zadaniu.

Warto też sprawdzić ustawienia zewnętrznej współpracy w Microsoft 365, reguły dotyczące zaproszeń, kontrolę dostępu do grup i polityki udostępniania. Dla części organizacji właściwe będzie ograniczenie możliwości dodawania użytkowników do zewnętrznych grup albo silniejsze oznaczanie aktywności spoza organizacji.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link z grupy, pliku lub kalendarza, trzeba ustalić, czy podał dane, zatwierdził MFA, pobrał plik, nadał zgodę OAuth albo wykonał płatność. Reakcja zależy od skutku.

Przy podejrzeniu przejęcia konta należy zmienić hasło, unieważnić sesje, sprawdzić MFA, usunąć podejrzane zgody aplikacji, przejrzeć logowania i aktywność w poczcie oraz plikach. Przy pobraniu pliku trzeba sprawdzić urządzenie i nie kasować artefaktów przed analizą. Przy wpisie kalendarza trzeba usunąć również samo wydarzenie, nie tylko wiadomość źródłową.

Jeżeli przynęta dotyczyła domeny, faktury, dostawcy lub podpisu dokumentu, warto powiadomić właściciela procesu: IT, finanse, zakupy, administrację albo HR. Taki atak może być przygotowaniem do dalszego oszustwa.

Jak ćwiczyć ten scenariusz w awareness

Symulacja powinna wyjść poza zwykły e-mail. Można testować scenariusz zaproszenia do grupy, wpisu w kalendarzu, pliku współdzielonego albo powiadomienia o obowiązkowym szkoleniu. Ważne, aby ćwiczenie mierzyło moment decyzji: czy użytkownik sprawdzi kontekst, czy kliknie link, czy zgłosi nietypowy workflow.

Po teście trzeba jasno wyjaśnić, że problemem nie jest sam Outlook ani Microsoft 365. Problemem jest zaufanie do ścieżki, która wygląda jak codzienna praca. To dobry scenariusz dla firm, które mają już podstawowe szkolenia phishingowe i chcą mierzyć odporność na bardziej realistyczne ataki.

Konkretna zasada na koniec

Phishing w Microsoft 365 nie zawsze wygląda jak e-mail. Może wyglądać jak grupa, zaproszenie, dokument albo przypomnienie w kalendarzu. Jeżeli workflow jest nieoczekiwany i prowadzi do logowania, płatności, pliku lub zgody, trzeba zatrzymać proces i potwierdzić jego właściciela.