SharePoint como ferramenta de phishing

Cibercriminosos estão usando servidores do SharePoint sequestrados para enviar notificações perigosas.

Um link de phishing no corpo do e-mail é coisa do passado. Os filtros de e-mail agora detectam esse truque com quase 100% de eficiência. É por isso que os cibercriminosos estão constantemente inventando novas maneiras de obter credenciais de login corporativo. Recentemente, encontramos um método bastante interessante que faz uso de servidores SharePoint perfeitamente legítimos. Neste post, explicamos como funciona o esquema e o que os funcionários devem se atentar para evitar problemas.

Anatomia do phishing do SharePoint

O funcionário recebe uma notificação padrão sobre alguém compartilhando um arquivo. É improvável que isso levante suspeitas (especialmente se a empresa onde o funcionário trabalha realmente usa o SharePoint). Isso ocorre porque é uma notificação real de um servidor real do SharePoint.

Notificação legítima de um servidor SharePoint.

Notificação legítima de um servidor SharePoint.

O funcionário desavisado clica no link e é levado ao servidor SharePoint genuíno, onde o suposto arquivo do OneNote aparece como esperado. Então aparece outra notificação de arquivo que contém um ícone maior que o normal (desta vez de um arquivo PDF). Supondo que esta seja outra etapa no processo de download, a vítima clica no link — agora um link padrão de phishing.

Conteúdo do suposto arquivo OneNote no servidor SharePoint.

Conteúdo do suposto arquivo OneNote no servidor SharePoint.

Esse link, por sua vez, abre um site de phishing padrão que imita a página de login do OneDrive, que prontamente rouba credenciais do Yahoo!, AOL, Outlook, Office 365 ou outro serviço de e-mail.

Página de login falsa do Microsoft OneDrive.

Página de login falsa do Microsoft OneDrive.

Por que esse tipo de phishing é especialmente perigoso

Este não é o primeiro caso de phishing baseado no SharePoint. No entanto, desta vez, os invasores não apenas ocultam o link de phishing em um servidor SharePoint, mas o distribuem por meio do mecanismo de notificação nativo da plataforma. Isso é possível porque, graças aos desenvolvedores da Microsoft, o SharePoint possui um recurso que permite compartilhar um arquivo que está em um site corporativo do SharePoint com participantes externos que não têm acesso direto ao servidor. Instruções sobre como fazer isso são dadas no site da empresa.

Tudo o que os invasores precisam fazer é obter acesso ao servidor SharePoint de alguém (usando um truque de phishing semelhante ou qualquer outro). Feito isso, eles carregam o arquivo com o link e adicionam uma lista de e-mails para compartilhar. O próprio SharePoint notifica os proprietários de e-mail. E essas notificações passarão por todos os filtros, pois vêm do serviço legítimo de alguma empresa real.

Como se manter seguro

Para evitar que seus funcionários sejam vítimas de e-mails fraudulentos, eles precisam ser capazes de identificar os sinais indicadores. Nesse caso, os alertas vermelhos óbvios são as seguintes:

  • Quando não sabemos quem compartilhou o arquivo (é uma boa prática nunca abrir arquivos de estranhos).
  • Quando não sabemos que tipo de arquivo é (as pessoas normalmente não compartilham arquivos espontaneamente sem uma explicação do que enviaram e por quê).
  • O e-mail fala sobre um arquivo OneNote — mas no servidor vemos um PDF.
  • O link de download do arquivo nos leva a um site de terceiros que não tem nada a ver com a empresa da vítima ou com o SharePoint.
  • O arquivo supostamente reside em um servidor SharePoint, mas o site imita o OneDrive — esses são dois serviços diferentes da Microsoft.

Para garantir, recomendamos a realização de treinamentos regulares de conscientização de segurança para os funcionários. Uma plataforma online especializada pode ajudar com isso.

O que a manobra descrita acima demonstra claramente é que as soluções de segurança com tecnologia anti-phishing devem ser instaladas não apenas no nível do servidor de e-mail corporativo, mas em todos os dispositivos de trabalho também.

Dicas