Os pesquisadores da Check Point
Software revelam que hackers estão usando o SharePoint para enviar links de
phishing e dão dicas de segurança para evitar ser vítima
Os pesquisadores da
Check Point Research (CPR), divisão de inteligência de ameaças da Check
Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de
soluções de cibersegurança global, identificam mais uma campanha de phishing no
ar em que os cibercriminosos utilizam serviços legítimos para disseminação; e o
serviço favorito da vez para distribuição de phishing é o de compartilhamento
de arquivos da Microsoft, o SharePoint.
Recentemente, os pesquisadores divulgaram sobre
como os hackers estão se valendo de tais serviços legítimos para enviar
campanhas de phishing. Isso já foi visto sendo usado no Google, QuickBooks,
PayPal, entre outros.
Existem algumas razões por trás dessa tendência. A
primeira delas é que é tudo simples para os atacantes. “Os cibercriminosos têm
uma tonelada de ferramentas à sua disposição para realizar esses ataques, e
eles podem criar contas gratuitas com esses serviços e enviá-las para vários
alvos. Então, eles podem incorporar um link de phishing em um documento
legítimo e enviá-lo por e-mail diretamente do serviço”, explica Jeremy Fuchs,
pesquisador e analista de cibersegurança na Check Point Software para solução
Harmony Email.
O e-mail é legítimo - ele vem diretamente do
serviço e passará por todas as verificações a partir do padrão de autenticação
de e-mail Sender Policy Framework (SPF ou Estrutura da Política do
Remetente, em português) e outros elementos padrão que os serviços de segurança
procuram.
Os pesquisadores do Check Point Software,
especializados nas soluções e tecnologias de segurança de e-mail, detalham como
os hackers estão usando o SharePoint para enviar links de phishing.
Ataque de phishing via Sharepoint
Os hackers estão usando o SharePoint para enviar
links de phishing:
● Vetor: e-mail
● Tipo: BEC 3.0
● Técnicas: Engenharia Social, Coleta/Roubo de
Credenciais
● Alvo: qualquer usuário final
Exemplo de E-mail
O
ataque de phishing via SharePoint começa com o destinatário recebendo um aviso
do SharePoint de que um arquivo foi compartilhado. Ao clicar no link, o usuário
é redirecionado para uma página legítima do SharePoint.
Na
página legítima do SharePoint, onde está indicado um documento (na imagem acima
trata-se do “Novo Desenho CG”), o link no documento não leva para outra página
da Microsoft. Em vez disso, o link direciona para um site de phishing que já
foi desativado. Todos os outros links são legítimos.
Técnicas
Utilizar serviços legítimos para enviar ataques tem
sido a mais recente tendência de 2023. Os pesquisadores da Check Point Software
apontam que se trata de BEC 3.0 (Business Email Compromise ou Comprometimento
de E-mail Corporativo, em português) e é a próxima evolução deste tipo de
ataque.
“Não há necessidade de engenharia social intensa,
não há necessidade de ir e vir. Estes são incrivelmente fáceis de executar e
tão difíceis de parar. Quase não há indicadores maliciosos. É um serviço
legítimo, enviado em um horário legítimo, de uma fonte legítima, com linguagem
legítima. É difícil dizer se é falso ou não, muito menos malicioso ou não”,
comenta Jeremy Fuchs.
Fuchs explica o que deve ser feito: é preciso parar
no perímetro do ataque. A proteção de links é enorme, emulando páginas atrás de
links para ver a verdadeira intenção. Portanto, mesmo que o usuário clique no
link malicioso no SharePoint, ainda assim será possível analisá-lo. A análise
de sites em busca de indicadores de phishing de dia zero também é imensa, assim
como a utilização de Optical Character Recognition (OCR – reconhecimento
de caractere óptico) para encontrar ícones e logotipos falsos.
“Esta forma de ataque não vai a lugar algum. No
mínimo, continuará ganhando força. Para combater isso, uma nova abordagem é
necessária”, reforça Fuchs.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os
profissionais de segurança precisam:
● Implementar segurança que usa IA para analisar
vários indicadores de phishing;
● Implementar segurança completa que também pode
digitalizar documentos e arquivos;
● Implementar proteção de URL robusta que verifica
e emula páginas da web.
Blog
YouTube
Nenhum comentário:
Postar um comentário