phishing
Los enlaces de phishing en el cuerpo de un e-mail son cosa del pasado. Ahora los filtros de los correos electrónicos detectan este truco de ataque con una eficiencia de casi el 100 %. Por ello, los ciberdelincuentes andan inventando constantemente nuevos métodos para obtener credenciales de inicio de sesión corporativas. De hecho, hace poco nos encontramos con un método bastante interesante que utiliza servidores de SharePoint totalmente legítimos. En esta publicación, te explicamos cómo funciona esta nueva estrategia y qué deben tener en cuenta los empleados para evitar problemas.
Anatomía del phishing de SharePoint
El empleado recibe una notificación estándar sobre alguien que comparte un archivo. Es poco probable que esto despierte sospechas, sobre todo si la empresa en la que trabaja el empleado usa SharePoint. Esto se debe a que se trata de una notificación real de un servidor de SharePoint auténtico.
Notificación legítima de un servidor de SharePoint.
El empleado desprevenido hace clic en el enlace que lo redirige a un servidor auténtico en SharePoint, donde el supuesto archivo de OneNote aparece tal cual se esperaba. Solo que en su interior parece haber otra notificación de archivo que contiene un icono de gran tamaño: esta vez un archivo PDF. Dando por hecho que se trata de otro paso más en el proceso de descarga, la víctima hace clic en el enlace, que ahora es un phishing estándar.
Contenido del supuesto archivo de OneNote en el servidor de SharePoint.
Este enlace, a su vez, abre un sitio de phishing estándar que imita la página de inicio de sesión de OneDrive, que roba fácilmente las credenciales de inicio de sesión de Yahoo!, AOL, Outlook, Office 365 o cualquier otro servicio de correo electrónico.
Página falsa de inicio de sesión de Microsoft OneDrive.
Qué tiene de peligroso este tipo de phishing
Evidentemente, no estamos ante el primer caso de phishing basado en SharePoint. Sin embargo, esta vez los atacantes no solo ocultan el enlace de phishing en un servidor de SharePoint, sino que lo distribuyen a través del mecanismo de notificación nativo de la plataforma. Esto es posible gracias a los desarrolladores de Microsoft, que habilitaron una función en SharePoint que te permite compartir un archivo que se encuentra en un sitio corporativo de SharePoint con participantes externos que no tienen acceso directo al servidor. Las instrucciones con los pasos a seguir están en el sitio web de la compañía.
Todo lo que tienen que hacer los atacantes es obtener acceso al servidor de SharePoint de alguien, usando un truco de phishing similar o cualquier otro. Una vez hecho esto, cargan el archivo con el enlace y añaden una lista de correos electrónicos con quienes compartirlo. Después, es el propio SharePoint el que notifica a los propietarios del correo electrónico; notificaciones que pasarán todos los filtros, dado que realmente provienen del servicio legítimo de una empresa real.
Cómo mantenerte a salvo
Para evitar que tus empleados caigan en la trampa de los correos electrónicos fraudulentos, deben poder detectar las señales que lo delatan. En este caso, las banderas rojas (y obvias) son las siguientes:
- Cuando no sabemos quién compartió el archivo: una buena práctica consiste en no abrir nunca archivos de desconocidos.
- Cuando no sabemos qué tipo de archivo es: los usuarios no suelen compartir archivos de imprevisto sin explicar qué envía y por qué lo hace.
- El correo electrónico habla de un archivo de OneNote, pero en el servidor vemos un PDF.
- El enlace de descarga del archivo nos lleva a un sitio de terceros que no tiene nada que ver ni con la empresa de la víctima ni con SharePoint.
- El archivo supuestamente reside en un servidor de SharePoint, pero el sitio imita a OneDrive, dos servicios de Microsoft diferentes.
Para asegurarte, recomendamos realizar formaciones periódicas sobre seguridad a los empleados. Una plataforma online especializada puede ayudarte con esta tarea.
Lo que demuestra claramente esta estrategia es que las soluciones de seguridad con tecnología antiphishing deben instalarse no solo en el nivel del servidor de correo corporativo, sino también en los [KESB placeholder]dispositivos de todos los empleados[/KESB placeholder].
