Phishing através do SharePoint
- A Check Point Software escreveu recentemente sobre a forma como os hackers estão a utilizar serviços legítimos para enviar campanhas de phishing.
- Já o vimos ser utilizado pelo Google, QuickBooks, PayPal e muito mais.
Os hackers estão a utilizar cada vez mais serviços legítimos para enviar campanhas de phishing. Já assistimos a este fenómeno anteriormente e existem algumas razões para justificar esta prática. Em primeiro lugar, é simples. Os piratas informáticos conseguem criar contas gratuitas nestes serviços e enviá-las para vários alvos. Depois, podem incorporar um link de phishing num documento legítimo e enviá-lo por e-mail diretamente do serviço. O e-mail é legítimo - vem diretamente do serviço e passa todas as verificações SPF e outras coisas padrão que os serviços de segurança procuram.
Os piratas informáticos dispõem de inúmeras ferramentas para efetuar estes ataques. Um novo favorito é o serviço de partilha de ficheiros da Microsoft, o SharePoint.
Neste resumo de ataque, os investigadores do Check Point Harmony Email, membros da equipa Check Point Software Technologies Ltd., líder mundial de soluções de cibersegurança, irão discutir como os hackers estão a utilizar o SharePoint para enviar links de phishing.
Ataque
Neste ataque, os hackers estão a utilizar o SharePoint para enviar ligações de phishing.
· Vetor: Correio eletrónico
· Tipo: BEC 3.0
· Técnicas: Engenharia social, coleta de credenciais
· Alvo: Qualquer utilizador final
Exemplo de Email
Este ataque começa com o destinatário a receber um aviso do SharePoint de que um ficheiro foi partilhado.
Ao clicar na ligação, o utilizador é redirecionado para uma página legítima do SharePoint.
O que é difícil aqui é o que está anexado. O "New CG Drawing" não vai para outra página da Microsoft. Em vez disso, vai para um site de phishing que já foi retirado do ar. Todos os outros links são legítimos.
Técnicas
A utilização de serviços legítimos para enviar ataques é a última tendência de 2023. Chamamos-lhe BEC 3.0 e é a próxima evolução do Business Email Compromise. Não há necessidade de engenharia social intensa, não há necessidade de idas e vindas prolongadas.
Estes são incrivelmente fáceis de executar e igualmente difíceis de parar. Quase não existem indicadores maliciosos. Trata-se de um serviço legítimo, enviado numa altura legítima, de uma fonte legítima, com uma linguagem legítima. É difícil dizer se é falso ou não, e muito menos se é malicioso ou não.
Então o que é que se faz? É preciso parar no perímetro do ataque. A proteção de hiperligações é muito importante: simular páginas por trás de hiperligações para ver a verdadeira intenção. Assim, mesmo que o utilizador clique na hiperligação maliciosa no SharePoint, é possível analisá-la. A análise de sites em busca de indicadores de phishing de dia zero também é muito importante, tal como a utilização de OCR para encontrar ícones e logótipos falsos.
Esta forma de ataque não vai a lado nenhum. Pelo contrário, vai continuar a ganhar força. Para o combater, é necessária uma nova abordagem.
Melhores práticas: Orientações e recomendações
Para se protegerem contra estes ataques, os profissionais de segurança podem fazer o seguinte:
· Implementar uma segurança que utilize a IA para analisar vários indicadores de phishing
· Implementar uma segurança completa que também pode analisar documentos e ficheiros
· Implementar uma proteção URL robusta que analisa e simula páginas Web
Post A Comment:
0 comments: