SharePoint, uno de los softwares de colaboración empresarial más populares, está siendo objeto de ataques de phishing que pueden comprometer datos empresariales valiosos. Este artículo tiene como objetivo educar a directores, gerentes de TI y CTOs sobre cómo detectar y prevenir tales amenazas de ciberseguridad.
El phishing no es una novedad. Pero lo que hace especial a SharePoint es su prevalencia en entornos empresariales de alta importancia. Los atacantes envían notificaciones falsas que parecen provenir de SharePoint. Estos mensajes pueden venir acompañados de alertas de seguridad, actualizaciones o solicitudes para compartir documentos. Una vez que el usuario hace clic en el enlace, se le pide que ingrese sus credenciales. Al hacerlo, entrega inadvertidamente acceso a su cuenta de SharePoint y, por extensión, a información valiosa de la empresa.
Te podría interesar leer: SharePoint: La Herramienta de Gestión de Contenido
El trabajador recibe una alerta convencional informándole que alguien ha compartido un archivo con él. Esto difícilmente levantaría alguna alarma, especialmente si la organización donde labora el empleado utiliza habitualmente SharePoint. La razón es que la notificación proviene de un servidor SharePoint legítimo.
El empleado, sin sospechar nada, pulsa sobre el enlace y es redirigido al auténtico servidor de SharePoint, donde el supuesto archivo de OneNote se muestra como se esperaba. Sin embargo, el contenido interno se asemeja a otra alerta de archivo y muestra un icono de gran tamaño, esta vez de un archivo PDF. Creyendo que este es otro paso en el proceso de descarga del archivo, el empleado hace clic en el enlace, que en realidad es un vínculo de phishing convencional.
Este vínculo, a su vez, redirige al usuario a una página de phishing típica que simula la pantalla de inicio de sesión de OneDrive, y que está diseñada para sustraer credenciales de Yahoo!, AOL, Outlook, Office 365 u otros servicios de correo electrónico.
Te podría interesar leer: Detecta si estás en un Sitio Web Pirateado
Esta no es, por cierto, la primera instancia de ataques de phishing que involucran a SharePoint. Sin embargo, lo que distingue a este caso es que los atacantes no solo camuflan el enlace de phishing dentro de un servidor SharePoint, sino que también lo distribuyen utilizando el sistema de notificación integrado de la plataforma. Esto se logra debido a que los creadores de Microsoft han diseñado SharePoint con una característica que permite compartir archivos ubicados en un sitio corporativo de SharePoint con usuarios externos que no tienen acceso directo al servidor. Las pautas para hacer esto se pueden encontrar en el sitio web oficial de la empresa.
Todo lo que los delincuentes cibernéticos necesitan hacer es ganar acceso al servidor SharePoint de una persona o entidad (empleando una táctica de phishing similar u otro método). Una vez que logran este acceso, suben el archivo que contiene el enlace malicioso y añaden una lista de direcciones de correo electrónico para compartir el archivo. SharePoint, por su parte, envía notificaciones a los titulares de esas direcciones de correo. Lo más preocupante es que estas notificaciones sortearán todos los filtros de seguridad, ya que son emitidas por el servicio legítimo de una empresa genuina.
Te podría interesar leer: Protección de Phishing: No Muerdas el Anzuelo
Para prevenir que su equipo caiga presa de correos electrónicos engañosos, es crucial que sean capaces de identificar las señales de advertencia. En este contexto, las alertas más evidentes son:
1. Desconocimiento del remitente que comparte el archivo (como regla general, es mejor no abrir archivos de personas desconocidas).
2. Incertidumbre sobre el tipo de archivo compartido (la mayoría de la gente no envía archivos sin antes ofrecer alguna explicación sobre lo que están enviando y por qué).
3. El correo electrónico menciona un archivo OneNote, pero en el servidor aparece como PDF.
4. El enlace para descargar el archivo nos redirige a un sitio web de terceros que no tiene relación alguna con la empresa del receptor ni con SharePoint.
5. Aunque el archivo está supuestamente alojado en un servidor SharePoint, el sitio web que lo muestra simula ser OneDrive, que son dos servicios distintos de Microsoft.
Para mantenerse a salvo, recomendamos la implementación de programas de capacitación regulares enfocados en la conciencia sobre ciberseguridad para los trabajadores.