Notificações do SharePoint estão a ser utilizadas para lançar ataques de phishing

Os cibercriminosos escondem ligações phishing em servidores SharePoint anteriormente comprometidos e distribuem-nas pelas suas vítimas, uma vez que este é um formato mais convincente e que evita melhor os filtros anti-spam. Os peritos da Kaspersky descobriram mais de 1.600 notificações maliciosas na Europa, América do Norte e outras regiões.

Os cibercriminosos trabalham 24 horas por dia para contornar os filtros de segurança que detetam e-mails de phishing e, até agora, ocultavam ligações maliciosas num servidor SharePoint. No entanto, a tendência mais recente é distribuí-las utilizando notificações legítimas do SharePoint. As soluções de segurança da Kaspersky filtraram mais de 1.600 notificações maliciosas entre dezembro de 2022 e fevereiro de 2023 em empresas na Península Ibérica, Áustria, França, Índia, Itália, Japão, Países Baixos, Rússia, Singapura, Coreia do Sul e Estados Unidos da América.

Este novo esquema é mesmo capaz de contornar a vigilância de colaboradores com mais conhecimentos técnicos. As notificações são enviadas em nome de uma organização real, o que não suscita dúvidas, especialmente se a empresa utiliza SharePoint diariamente.

A vítima recebe uma notificação do SharePoint a dizer que alguém partilhou um ficheiro OneNote. Este e-mail é absolutamente legítimo e contorna o filtro de spam mais facilmente do que um link de phishing escondido num servidor SharePoint.

O colaborador que recebeu a notificação carrega na ligação para o ficheiro OneNote, mas o corpo do texto contém outra notificação, com um ícone de grandes dimensões de um tipo de ficheiro diferente (como, por exemplo, PDF) e uma ligação de phishing padrão.

Embora estes esquemas de phishing sejam convincentes, podem ser distinguidos por uma variedade de alertas, que são importantes de explicar aos colaboradores.

“Para começar, o ficheiro e o remetente são desconhecidos. Além disso, os colegas normalmente não partilham documentos sem um texto de introdução. Há mais alertas: há uma ligação para um ficheiro OneNote na notificação, mas aparece um ficheiro PDF. A ligação para o download leva a um site de terceiros, cujo endereço web não tem nada a ver com a empresa da vítima ou com o servidor SharePoint. Além disso, o website de phishing imita a página de login para o OneDrive, que é outro serviço da Microsoft que não está relacionado com o SharePoint. Para permanecer seguro, é necessário ter cuidado com todos os emails suspeitos e estar atento a estes detalhes”, explica Roman Dedenok, Spam Analysis Expert da Kaspersky.

Para se manter protegido de várias técnicas de phishing dirigidas a pequenas, médias e grandes empresas, a Kaspersky recomenda a implementação das seguintes medidas:

• Utilizar soluções de segurança com tecnologias anti-phishing não só nos servidores de email da empresa, mas também nos dispositivos dos colaboradores;
• Formar os colaboradores em práticas básicas de ciberhigiene. Simular ataques de phising para assegurar que os colaboradores sabem distinguir as mensagens de phishing;
• Se utilizar o serviço de cloud Microsoft 365, não se esqueça de o proteger. O Kaspersky Security para o Microsoft Office 365 é uma solução anti-spam e anti-phishing para proteção de SharePoint, Teams ou o OneDrive e para comunicações empresariais seguras.