Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point® Software Technologies Ltd., identificaram mais uma campanha de phishing no ar em que os cibercriminosos utilizam serviços legítimos para disseminação; e o serviço favorito da vez para distribuição de phishing é o de compartilhamento de arquivos da Microsoft, o SharePoint.
Recentemente, os pesquisadores divulgaram sobre como os hackers estão se valendo de tais serviços legítimos para enviar campanhas de phishing. Isso já foi visto sendo usado no Google, QuickBooks, PayPal, entre outros.
Existem algumas razões por trás dessa tendência. A primeira delas é que é tudo simples para os atacantes. “Os cibercriminosos têm uma tonelada de ferramentas à sua disposição para realizar esses ataques, e eles podem criar contas gratuitas com esses serviços e enviá-las para vários alvos. Então, eles podem incorporar um link de phishing em um documento legítimo e enviá-lo por e-mail diretamente do serviço”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.
O e-mail é legítimo – ele vem diretamente do serviço e passará por todas as verificações a partir do padrão de autenticação de e-mail Sender Policy Framework (SPF ou Estrutura da Política do Remetente, em português) e outros elementos padrão que os serviços de segurança procuram.
Os pesquisadores do Check Point Software, especializados nas soluções e tecnologias de segurança de e-mail, detalham como os hackers estão usando o SharePoint para enviar links de phishing.
Ataque de phishing via Sharepoint
Os hackers estão usando o SharePoint para enviar links de phishing:
● Vetor: e-mail
● Tipo: BEC 3.0
● Técnicas: Engenharia Social, Coleta/Roubo de Credenciais
● Alvo: qualquer usuário final
Exemplo de E-mail
O ataque de phishing via SharePoint começa com o destinatário recebendo um aviso do SharePoint de que um arquivo foi compartilhado. Ao clicar no link, o usuário é redirecionado para uma página legítima do SharePoint.
Na página legítima do SharePoint, onde está indicado um documento, o link não leva para outra página da Microsoft. Em vez disso, o link direciona para um site de phishing que já foi desativado. Todos os outros links são legítimos.
Técnicas
Utilizar serviços legítimos para enviar ataques tem sido a mais recente tendência de 2023. Os pesquisadores da Check Point Software apontam que se trata de BEC 3.0 (Business Email Compromise ou Comprometimento de E-mail Corporativo, em português) e é a próxima evolução deste tipo de ataque.
“Não há necessidade de engenharia social intensa, não há necessidade de ir e vir. Estes são incrivelmente fáceis de executar e tão difíceis de parar. Quase não há indicadores maliciosos. É um serviço legítimo, enviado em um horário legítimo, de uma fonte legítima, com linguagem legítima. É difícil dizer se é falso ou não, muito menos malicioso ou não”, comenta Jeremy Fuchs.
Fuchs explica o que deve ser feito: é preciso parar no perímetro do ataque. A proteção de links é enorme, emulando páginas atrás de links para ver a verdadeira intenção. Portanto, mesmo que o usuário clique no link malicioso no SharePoint, ainda assim será possível analisá-lo. A análise de sites em busca de indicadores de phishing de dia zero também é imensa, assim como a utilização de Optical Character Recognition (OCR – reconhecimento de caractere óptico) para encontrar ícones e logotipos falsos.
“Esta forma de ataque não vai a lugar algum. No mínimo, continuará ganhando força. Para combater isso, uma nova abordagem é necessária”, reforça Fuchs.
Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os profissionais de segurança precisam:
● Implementar segurança que usa IA para analisar vários indicadores de phishing;
● Implementar segurança completa que também pode digitalizar documentos e arquivos;
● Implementar proteção de URL robusta que verifica e emula páginas da web.