Los enlaces de phishing en el cuerpo de un e-mail son cosa del pasado.

Ahora los filtros de los correos electrónicos detectan este truco de ataque con una eficiencia de casi el 100 %.

Por ello, los ciberdelincuentes andan inventando constantemente nuevos métodos para obtener credenciales de inicio de sesión corporativas.

De hecho, hace poco nos encontramos con un método bastante interesante que utiliza servidores de SharePoint totalmente legítimos.

En esta publicación, te explicamos cómo funciona esta nueva estrategia y qué deben tener en cuenta los empleados para evitar problemas.

Anatomía del phishing de SharePoint

El empleado recibe una notificación estándar sobre alguien que comparte un archivo. Es poco probable que esto despierte sospechas, sobre todo si la empresa en la que trabaja el empleado usa SharePoint. Esto se debe a que se trata de una notificación real de un servidor de SharePoint auténtico.

El empleado desprevenido hace clic en el enlace que lo redirige a un servidor auténtico en SharePoint, donde el supuesto archivo de OneNote aparece tal cual se esperaba.

Solo que en su interior parece haber otra notificación de archivo que contiene un icono de gran tamaño: esta vez un archivo PDF.

Dando por hecho que se trata de otro paso más en el proceso de descarga, la víctima hace clic en el enlace, que ahora es un phishing estándar.

Este enlace, a su vez, abre un sitio de phishing estándar que imita la página de inicio de sesión de OneDrive, que roba fácilmente las credenciales de inicio de sesión de Yahoo!, AOL, Outlook, Office 365 o cualquier otro servicio de correo electrónico.

¿Qué tiene de peligroso este tipo de phishing?

Evidentemente, no estamos ante el primer caso de phishing basado en SharePoint.

Sin embargo, esta vez los atacantes no solo ocultan el enlace de phishing en un servidor de SharePoint, sino que lo distribuyen a través del mecanismo de notificación nativo de la plataforma.

Esto es posible gracias a los desarrolladores de Microsoft, que habilitaron una función en SharePoint que te permite compartir un archivo que se encuentra en un sitio corporativo de SharePoint con participantes externos que no tienen acceso directo al servidor.

Las instrucciones con los pasos a seguir están en el sitio web de la compañía.

Todo lo que tienen que hacer los atacantes es obtener acceso al servidor de SharePoint de alguien, usando un truco de phishing similar o cualquier otro. Una vez hecho esto, cargan el archivo con el enlace y añaden una lista de correos electrónicos con quienes compartirlo. Después, es el propio SharePoint el que notifica a los propietarios del correo electrónico; notificaciones que pasarán todos los filtros, dado que realmente provienen del servicio legítimo de una empresa real.

Cómo mantenerte a salvo

Para evitar que tus empleados caigan en la trampa de los correos electrónicos fraudulentos, deben poder detectar las señales que lo delatan. En este caso, las banderas rojas (y obvias) son las siguientes:

• Cuando no sabemos quién compartió el archivo: Si recibes un archivo de alguien que no conoces o no esperabas recibirlo, es una buena práctica no abrirlo nunca. Abrir archivos de desconocidos puede poner en riesgo la seguridad de tu computadora y de la información que tienes en ella. Si el archivo es importante, es recomendable verificar la fuente y confirmar si es seguro antes de abrirlo.
• Cuando no sabemos qué tipo de archivo es: Si recibes un archivo y no estás seguro del tipo de archivo que es, debes tener precaución antes de abrirlo. Los usuarios suelen compartir archivos con una explicación de por qué lo envían y qué tipo de archivo es. Si no hay ninguna explicación, es posible que se trate de un archivo malicioso, por lo que es recomendable no abrirlo.
• El correo electrónico habla de un archivo de OneNote, pero en el servidor vemos un PDF: Si recibes un correo electrónico que habla de un archivo de un tipo específico, pero al descargarlo descubres que es de otro tipo, es una señal de alerta. Podría ser un intento de engañar al usuario para que abra un archivo malicioso. En estos casos, es recomendable no abrir el archivo y verificar la fuente del correo electrónico.
• El enlace de descarga del archivo nos lleva a un sitio de terceros que no tiene nada que ver ni con la empresa de la víctima ni con SharePoint: Si recibes un enlace para descargar un archivo y te lleva a un sitio de terceros que no tiene nada que ver con la empresa o servicio que supuestamente lo aloja, es probable que sea un intento de phishing o un archivo malicioso. En estos casos, es recomendable no descargar el archivo y verificar la fuente del correo electrónico o del enlace.
• El archivo supuestamente reside en un servidor de SharePoint, pero el sitio imita a OneDrive, dos servicios de Microsoft diferentes: Si el archivo supuestamente reside en un servidor de una empresa específica y el sitio web imita a otro servicio diferente, es una señal de alerta. Podría tratarse de un intento de phishing o un archivo malicioso. Es importante verificar la fuente del correo electrónico o del sitio web antes de descargar o abrir cualquier archivo.

Para asegurarte, recomendamos realizar formaciones periódicas sobre seguridad a los empleados. Una plataforma online especializada puede ayudarte con esta tarea.

Lo que demuestra claramente esta estrategia es que las soluciones de seguridad con tecnología antiphishing deben instalarse no solo en el nivel del servidor de correo corporativo, sino también en los [KESB placeholder]dispositivos de todos los empleados[/KESB placeholder].