El ritmo de sofisticación de la ciberdelincuencia no para y día a día nos sorprende colándose en las herramientas de trabajo de uso diario y mimetizándose con los procedimientos corporativos. Hasta hace nada los ciberdelincuentes ocultaban los enlaces maliciosos en un servidor SharePoint, pero ahora han pasado a distribuirlos a través de notificaciones legítimas de este servicio. Este nuevo sistema es capaz, incluso, de sortear la vigilancia de los empleados con más nociones tecnológicas, ya que son enviadas en nombre de una organización real, sin generar sospechas especialmente si la empresa utiliza SharePoint a diario.
Phishing a través de las notificaciones de SharePoint: así funciona
La víctima recibe un mensaje de SharePoint que explica que alguien ha compartido un archivo de OneNote con él. El correo es completamente legítimo y elude más fácilmente el filtro antispam que un enlace de phishing oculto en un servidor SharePoint:
Un ejemplo de notificación legítima de SharePoint
El empleado sigue el enlace hacia el archivo de OneNote. El cuerpo de la nota contiene, a su vez, otra notificación con un icono que corresponde a otro archivo diferente (como un PDF) y un enlace de phishing estándar:
Archivo malicioso de OneNote en el servidor SharePoint con el icono de un PDF
El enlace conduce a una web de phishing que imita la página de Microsoft OneDrive. Los ciberdelincuentes lo usan para robar credenciales de cuentas de correo como Yahoo!, AOL, Outlook, Office 365 y muchas otras plataformas:
Una web fraudulenta que imita la página de inicio de OneDrive
Aunque esta amenaza es muy convincente, hay una serie de señales que deben hacer saltar las alarmas y que es importante explicar a los empleados. Roman Dedenok, experto en análisis de spam de Kaspersky, las resume así:
- el archivo y el remitente son desconocidos;
- los compañeros de trabajo no suelen compartir correos con documentos sin un texto previo;
- hay un enlace a un archivo de OneNote, pero aparece un archivo PDF. El enlace conduce a un sitio de terceros cuya dirección web nada tiene que ver con la organización en la que trabaja la víctima o el servidor SharePoint;
- el sitio de phishing imita la página de inicio de sesión de OneDrive, servicio tampoco relacionado con SharePoint”.
Photo by GuerrillaBuzz on Unsplash.
