Взлом на расOpenHelper: актуальный метод мошенничества и как защититься

«Это же SharePoint, значит безопасно» — именно с этой мысли сегодня начинается множество киберинцидентов. В 2024–2025 годах злоумышленники всё чаще отказываются от грубых вирусов и подозрительных сайтов, переходя к умным многоступенчатым атакам, которые выглядят как обычная рабочая рутина.

Одна из таких схем получила неофициальное название взламывание на расOpenHelper — это не программа и не вирус, а метод мошенничества, использующий доверие к корпоративным облачным сервисам, прежде всего Microsoft SharePoint. 

Новая реальность киберугроз в России

Рост фишинга и BEC-атак (Business Email Compromise) в России связан не только с геополитикой или импортозамещением. Главная причина — массовый переход бизнеса в облака и удалённый формат работы.

Сегодня: 

• документы рассылаются ссылками;

• доступы выдаются «в один клик»;

• письма от Microsoft не вызывают подозрений.

Этим и пользуются атакующие.

Как работает схема рас OpenHelper

Атака строится по принципу «не напугать, а убедить».

Фаза 1. Контакт без тревожных сигналов

Жертва получает письмо:

• от «коллеги»;

• от «партнёра»;

• от «корпоративного сервиса».

Тема банальна: договор, счёт, обновление, внутренний файл. Никаких вложений — только ссылка.

Фаза 2. SharePoint как маска

Ссылка ведёт на: реальный SharePoint-домен, взломанную или специально созданную страницу, интерфейс, полностью повторяющий Microsoft 365.

Браузер показывает HTTPS, антивирус молчит — пользователь расслабляется.

Фаза 3. Сбор учётных данных

Под предлогом «подтвердите доступ» система запрашивает: логин, пароль, иногда — MFA-код.

Человек сам передаёт ключи от своей учётной записи.

Фаза 4. Развитие атаки

Дальше начинается самое опасное:

1. перехват деловой переписки;

2. подмена реквизитов в счетах;

3. атаки на контрагентов от имени жертвы.

Это уже классический BEC, но с «чистым» и незаметным входом.

Почему SharePoint стал ключевым элементом атак?

SharePoint идеально вписывается в эту модель, потому что используется повсеместно, поддерживает внешний доступ, воспринимается как «безопасный по умолчанию», а так же редко подвергается строгому контролю со стороны бизнеса.

В результате он превращается в платформу социальной инженерии, а не просто файловое хранилище.

Основные группы риска

На практике расOpenHelper чаще всего затрагивает:

• финансовые подразделения;

• управленческий состав;

• HR и юридические службы;

• компании без зрелых ИБ-процессов.

Однако ключевой фактор риска — не должность, а уровень цифровой доверчивости.

Защита: что действительно работает

Управление доверием, а не только доступами

Важно отказаться от принципа «если Microsoft — значит безопасно». Проверке должен подлежать сценарий, а не сервис.

Усиление контроля идентификации

• MFA с устойчивостью к фишингу;

• анализ аномалий входа;

• минимизация постоянных сессий.

Политики для SharePoint и облаков

• запрет неограниченного внешнего шаринга;

• инвентаризация публичных ссылок;

• аудит действий пользователей.

Подготовка к BEC как к бизнес-риску

BEC — это не ИТ-инцидент, а финансовая угроза, поэтому в процесс должны быть вовлечены:

• финансы;

• служба безопасности;

• руководство.

РасOpenHelper показывает, что граница между безопасной и опасной цифровой средой больше не проходит по доменам и сертификатам. Она проходит по поведению пользователей и процессам внутри компании.

В эпоху облаков и удалённой работы кибербезопасность — это не вопрос технологий, а вопрос зрелости. И те, кто не пересмотрит модель доверия сегодня, завтра рискуют столкнуться не с «взломом», а с тихой и дорогостоящей компрометацией бизнеса.