Notificações do SharePoint usadas para phishing

Notificações do SharePoint usadas para phishing

Os cibercriminosos escondem ligações phishing em servidores Sharepoint anteriormente comprometidos e distribuem-nas pelas suas vítimas, uma vez que este é um formato mais convincente e que evita melhor os filtros anti-spam. Os peritos da Kaspersky descobriram mais de 1.600 notificações maliciosas na Europa, América do Norte e outras regiões.

Os cibercriminosos trabalham 24 horas por dia para contornar os filtros de segurança que detetam e-mails de phishing e, até agora, ocultavam ligações maliciosas num servidor SharePoint. No entanto, a tendência mais recente é distribuí-las utilizando notificações legítimas do SharePoint. As soluções de segurança da Kaspersky filtraram mais de 1.600 notificações maliciosas entre dezembro de 2022 e fevereiro de 2023 em empresas na Península Ibérica, Áustria, França, Índia, Itália, Japão, Países Baixos, Rússia, Singapura, Coreia do Sul e Estados Unidos da América.

Exemplo de notificação legítima do SharePoint

Este novo esquema é mesmo capaz de contornar a vigilância de colaboradores com mais conhecimentos técnicos. As notificações são enviadas em nome de uma organização real, o que não suscita dúvidas, especialmente se a empresa utiliza SharePoint diariamente.

Como funciona o phishing através de notificações do SharePoint

A vítima recebe uma notificação do SharePoint a dizer que alguém partilhou um ficheiro OneNote. Este e-mail é absolutamente legítimo e contorna o filtro de spam mais facilmente do que um link de phishing escondido num servidor SharePoint.

O colaborador que recebeu a notificação carrega na ligação para o ficheiro OneNote, mas o corpo do texto contém outra notificação, com um ícone de grandes dimensões de um tipo de ficheiro diferente (como, por exemplo, PDF) e uma ligação de phishing padrão.

Ficheiro Malicioso OneNote no servidor SharePoint com o ícone de um PDF

Esta ligação leva a um website de phishing que imita a página do Microsoft OneDrive. Os cibercriminosos utilizam-no para roubar as credenciais de várias contas de correio eletrónico, como Yahoo!, AOL, Outlook, Office 365, entre outras.

Como minimizar os riscos deste tipo de phishing

Embora estes esquemas de phishing sejam convincentes, podem ser distinguidos por uma variedade de alertas, que são importantes de explicar aos colaboradores.

"Para começar, o ficheiro e o remetente são desconhecidos. Além disso, os colegas normalmente não partilham documentos sem um texto de introdução. Há mais alertas: há uma ligação para um ficheiro OneNote na notificação, mas aparece um ficheiro PDF. A ligação para o download leva a um site de terceiros, cujo endereço web não tem nada a ver com a empresa da vítima ou com o servidor SharePoint. Além disso, o website de phishing imita a página de login para o OneDrive, que é outro serviço da Microsoft que não está relacionado com o SharePoint. Para permanecer seguro, é necessário ter cuidado com todos os emails suspeitos e estar atento a estes detalhes", explica Roman Dedenok, Spam Analysis Expert da Kaspersky.

Para se manter protegido de várias técnicas de phishing dirigidas a pequenas, médias e grandes empresas, a Kaspersky recomenda a implementação das seguintes medidas:

· Utilizar soluções de segurança com tecnologias anti-phishing não só nos servidores de email da empresa, mas também n os dispositivos dos colaboradores.

· Formar os colaboradores em práticas básicas de ciberhigiene. Simular ataques de phising para assegurar que os colaboradores sabem distinguir as mensagens de phishing.

· Se utilizar o serviço de cloud Microsoft 365, não se esqueça de o proteger. O Kaspersky Security para o Microsoft Office 365 é uma solução anti-spam e anti-phishing para proteção de SharePoint, Teams ou o OneDrive e para comunicações empresariais seguras.