El phishing de SharePoint y OneDrive tiene mayor probabilidad de éxito
- Endpoint
Aunque los emails con enlaces maliciosos de SharePoint Online y OneDrive suponen el 1% del total de mensajes que contienen URLs maliciosas, representan más del 13% de los clics de los usuarios. Al utilizar servicios legítimos de Microsoft y la ingeniería social, son complicados de detectar.
Recomendados: Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar Ransomware desde el punto de vista empresarial Leer Panda Security Report. Sodinokibi Leer Secure&IT. Seguridad 360º Leer |
La migración empresarial a la nube está siendo aprovechada por los ciberdelincuentes, que toman el control de las cuentas de los usuarios para moverse lateralmente dentro de una organización, robar datos o comunicarse con sus socios y clientes, solicitando transferencias bancarias fraudulentas. Sacando provecho a la forma en que trabajan actualmente los empleados, como el intercambio de archivos, los ataques pueden ser más efectivos que nunca. De hecho, un informe de Proofpoint ha puesto de manifiesto que los usuarios son siete veces más propensos a hacer clic en enlaces maliciosos de SharePoint Online y OneDrive alojados en dominios legítimos de Microsoft.
En el primer semestre de 2020, Proofpoint detectó 5,9 millones de mensajes de correo electrónico que contenían enlaces maliciosos de SharePoint Online y OneDrive. Aunque sólo son el 1% del total de mensajes que contienen URLs maliciosas, representan más del 13% de los clics de los usuarios. Los usuarios fueron cuatro veces más propensos a hacer clic en enlaces maliciosos de SharePoint, y 11 veces más propensos a hacer clic en enlaces maliciosos de OneDrive. La investigación también ha puesto de manifiesto que los mensajes se distribuyeron desde más de 5.500 dominios comprometidos, lo que supone una gran parte de la base de clientes empresariales de Microsoft.
El phishing de SharePoint generalmente comienza con el compromiso de la cuenta en la nube. Una vez conseguido el control de la cuenta, el atacante carga un archivo malicioso y luego cambia los permisos de uso compartido del archivo a "Público" para que el nuevo enlace anónimo pueda compartirse con cualquier persona. El atacante envía el enlace por correo electrónico o comparte el enlace con los contactos del usuario u otras cuentas, y cuando los destinatarios abren el archivo y hacen clic en el enlace malicioso insertado, son víctimas de phishing, y esto vuelve a iniciar todo el ciclo nuevamente. Estos ataques pueden generar un robo de datos o diferentes formas de fraude electrónico, como el fraude en la cadena de suministro.
Los archivos maliciosos de OneNote también pueden suponer un desafío, ya que no se pueden descargar ni almacenar en una sandbox. La detección requiere un paso adicional: la extracción de datos web (web-scraping) antes de analizar los enlaces incrustados.
Algunos atacantes alojan contenido malicioso en una cuenta comprometida en un dominio, y utilizan la cuenta comprometida de un VIP de otro dominio. Compartir el enlace malicioso desde la cuenta del usuario adecuado aumenta las posibilidades de éxito de los atacantes. Además, incluso si se descubre la cuenta comprometida en el segundo dominio, el archivo malicioso alojado en el primero no se eliminaría. Y así, el ataque persistiría.
SharePoint Online y OneDrive no son los únicos dominios de servicios colaborativos utilizados por los atacantes. Uno de los más destacados es Sway, la nueva aplicación de Microsoft para crear y compartir contenido interactivo, como informes y boletines. Destaca también Googleapis, un servicio de alojamiento de archivos (como un parche de software) que usan los atacantes para estafas de soporte.
Para defenderse del phishing que utiliza alojamiento en SharePoint y OneDrive, las organizaciones deben obtener visibilidad sobre los vectores de amenazas de nube y de correo electrónico, y abordar la cadena de ataque de manera integral. Deben conocer cuáles son sus personas muy atacadas (VAP) y los riesgos que representan para su organización.