Ataques phishing contra SharePoint para conseguir credenciales

Recientemente se ha publicado que algunos cibercriminales desconocidos continúan enviando correos a usuarios de Office 365 con la intención de conseguir sus credenciales. Según los investigadores de Kaspersky Lab que descubrieron el ataque, hasta el 10% de todos los usuarios podrían haber recibido este tipo de mensajes.

Se ha indicado que estos ataques phishing contra SharePoint consisten en correos que envían los estafadores simulando una invitación para colaborar precisamente en SharePoint. Es así como se incita a abrir un documento almacenado en OneDrive for Business.

“El truco está en que el enlace del correo electrónico ya dirige a un documento de OneDrive for Business, pero el documento está enmascarado tras una solicitud de acceso. El enlace redirige a la víctima a un sitio de terceros que simula ser la página de acceso a Microsoft Office”.

Los usuarios que se encuentran en sus puestos de trabajo pueden sentirse más seguros que en otras fuentes y pensar que los intrusos no van a conseguir acceso a servicios SharePoint de forma tan inmediata, por lo que, confiados, acceden al enlace del sitio web fraudulento.

Si la víctima accede e introduce las credenciales del trabajo en este sitio, estarán inmediatamente disponibles para los propietarios del archivo. Los cibercriminales pueden obtener todos los datos de la víctima con estas credenciales, tales como el acceso al correo electrónico, la nube y la información confidencial de la empresa.

Mediante estos ataques phishing los estafadores además pueden robar información sensible de la competencia desde una cuenta corporativa, así como expandir malware, utilizar nombres de empleados o información de proyectos para el spear phishing, de acuerdo a lo publicado.

“Lo más ingenioso es que, cuando los filtros del correo comprueban el enlace del mensaje, éste está completamente limpio, ya que redirige a un documento en un espacio laboral con una reputación impecable. Al acceder al documento, el usuario abandona la jurisdicción de los filtros del correo y, por tanto, su protección pasa a manos de la solución de seguridad instalada en su ordenador”.

Métodos más comunes de los estafadores

Desde Kaspersky Lab ya se ha dicho que el spam y los ataques phishing suelen estar muy relacionados, pues los estafadores envían correos masivos con la intención de recopilar información de los destinatarios. Los datos personales de los usuarios representan un premio para ellos y un valor deseado, según lo han demostrado sus propios análisis de flujo de spam.

Como se sabe, uno de los objetivos más comunes es conseguir el acceso a las cuentas de las personas o sus números de tarjetas bancarias, a través del phishing por correo electrónico y las técnicas de ingeniería social.

Es por eso que la compañía de ciberseguridad ha recopilado los cinco trucos más comunes usados por los estafadores, tales como las notificaciones falsas de las redes sociales, el phishing en los bancos, notificaciones falsas de sitios de servicios y de venta, notificaciones falsas de servicios de correo electrónico y el fraude del “príncipe nigeriano”.

En el primero de los casos, los estafadores suelen enviar notificaciones falsas que parecen proceder de las redes sociales sobre nuevas amistades, su actividad, comentarios, me gusta y demás.

Se trata de mensajes idénticos a los reales pero tienen un enlace phishing, que no siempre es fácil de detectar. Allí se anima a introducir el nombre de usuario y contraseña en una página falsa de inicio de sesión.

“También se utilizan estos mensajes a modo de alertas de amenazas falsas, para anunciar que se ha detectado actividad sospechosa en tu cuenta o de que se ha introducido una nueva función y que se bloqueará a los usuarios que no den su consentimiento. Sea como sea, el mensaje contendrá un botón con un enlace a una página phishing de inicio de sesión”.

El phishing en los bancos, que busca la información de las tarjetas bancarias de los usuarios, sigue siendo el tipo de fraude más popular según los investigadores.

Se ha indicado que estos mensajes falsos se pueden enviar en nombre de bancos o sistemas de pago informando de un posible bloqueo de cuenta o de “actividad sospechosa” en la cuenta personal del cliente.

“Bajo el pretexto de restaurar el acceso, confirmar la identidad o cancelar una transacción, se le solicita al usuario que introduzca su información bancaria (a menudo con el código CVV/CVC) en un sitio web bancario falso. Tras recibir los datos, los criminales retiran el dinero de inmediato de la cuenta de la víctima”.

Las notificaciones falsas de sitios de servicios y de venta también se crean en nombre de marcas online, servicios de entrega, sitios de reservas, plataformas multimedia, bolsas de empleo y otros servicios populares online.

Los ciberdelincuentes, de acuerdo a lo publicado, confían en las probabilidades de que sus mensajes spam lleguen a algún usuario de estos servicios, que seguramente entren en pánico y den clic en el enlace.

En la cuarta posición de los trucos cibercriminales se ha dicho los delincuentes utilizan este tipo de estafa (notificaciones falsas de servicios de correo electrónico) para recopilar nombres de usuario y contraseñas de esos servicios.

Por último, el fraude del “príncipe nigeriano” es uno de los tipos más antiguos de spam. Consiste en la promesa de fortuna de un familiar o del abogado de un millonario muerto a cambio de un pago por adelantado, la cual sigue haciendo de las suyas.

Consejos antitrampas

Los investigadores de Kaspersky Lab recomiendan ser cauteloso, comprobar que un mensaje con una notificación de una compañía o servicio proviene de una dirección auténtica y utilizar una solución de seguridad de confianza con protección contra spam y ataques phishing; esto detectará los correos electrónicos fraudulentos y avisará de inmediato.

ataques phishing, cibercriminales, Kaspersky Lab