{"id":20983,"date":"2023-03-30T17:02:43","date_gmt":"2023-03-30T20:02:43","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20983"},"modified":"2023-03-30T17:02:43","modified_gmt":"2023-03-30T20:02:43","slug":"sharepoint-notification-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/sharepoint-notification-scam\/20983\/","title":{"rendered":"SharePoint como ferramenta de phishing"},"content":{"rendered":"

Um link de phishing no corpo do e-mail \u00e9 coisa do passado. Os filtros de e-mail agora detectam esse truque com quase 100% de efici\u00eancia. \u00c9 por isso que os cibercriminosos est\u00e3o constantemente inventando novas maneiras de obter credenciais de login corporativo. Recentemente, encontramos um m\u00e9todo bastante interessante que faz uso de servidores SharePoint perfeitamente leg\u00edtimos. Neste post, explicamos como funciona o esquema e o que os funcion\u00e1rios devem se atentar para evitar problemas.<\/p>\n

Anatomia do phishing do SharePoint<\/h2>\n

O funcion\u00e1rio recebe uma notifica\u00e7\u00e3o padr\u00e3o sobre algu\u00e9m compartilhando um arquivo. \u00c9 improv\u00e1vel que isso levante suspeitas (especialmente se a empresa onde o funcion\u00e1rio trabalha realmente usa o SharePoint). Isso ocorre porque \u00e9 uma notifica\u00e7\u00e3o real de um servidor real do SharePoint.<\/p>\n

\"Notifica\u00e7\u00e3o

Notifica\u00e7\u00e3o leg\u00edtima de um servidor SharePoint.<\/p><\/div>\n

O funcion\u00e1rio desavisado clica no link e \u00e9 levado ao servidor SharePoint genu\u00edno, onde o suposto arquivo do OneNote aparece como esperado. Ent\u00e3o aparece outra notifica\u00e7\u00e3o de arquivo que cont\u00e9m um \u00edcone maior que o normal (desta vez de um arquivo PDF). Supondo que esta seja outra etapa no processo de download, a v\u00edtima clica no link \u2014 agora um link padr\u00e3o de phishing.<\/p>\n

\"Conte\u00fado

Conte\u00fado do suposto arquivo OneNote no servidor SharePoint.<\/p><\/div>\n

Esse link, por sua vez, abre um site de phishing padr\u00e3o que imita a p\u00e1gina de login do OneDrive, que prontamente rouba credenciais do Yahoo!, AOL, Outlook, Office 365 ou outro servi\u00e7o de e-mail.<\/p>\n

\"P\u00e1gina

P\u00e1gina de login falsa do Microsoft OneDrive.<\/p><\/div>\n

Por que esse tipo de phishing \u00e9 especialmente perigoso<\/h2>\n

Este n\u00e3o \u00e9 o primeiro caso de phishing<\/a> baseado no SharePoint. No entanto, desta vez, os invasores n\u00e3o apenas ocultam o link de phishing em um servidor SharePoint, mas o distribuem por meio do mecanismo de notifica\u00e7\u00e3o nativo da plataforma. Isso \u00e9 poss\u00edvel porque, gra\u00e7as aos desenvolvedores da Microsoft, o SharePoint possui um recurso que permite compartilhar um arquivo que est\u00e1 em um site corporativo do SharePoint com participantes externos que n\u00e3o t\u00eam acesso direto ao servidor. Instru\u00e7\u00f5es<\/a> sobre como fazer isso s\u00e3o dadas no site da empresa.<\/p>\n

Tudo o que os invasores precisam fazer \u00e9 obter acesso ao servidor SharePoint de algu\u00e9m (usando um truque de phishing semelhante ou qualquer outro). Feito isso, eles carregam o arquivo com o link e adicionam uma lista de e-mails para compartilhar. O pr\u00f3prio SharePoint notifica os propriet\u00e1rios de e-mail. E essas notifica\u00e7\u00f5es passar\u00e3o por todos os filtros, pois v\u00eam do servi\u00e7o leg\u00edtimo de alguma empresa real.<\/p>\n

Como se manter seguro<\/h2>\n

Para evitar que seus funcion\u00e1rios sejam v\u00edtimas de e-mails fraudulentos, eles precisam ser capazes de identificar os sinais indicadores. Nesse caso, os alertas vermelhos \u00f3bvios s\u00e3o as seguintes:<\/p>\n