Kaspersky mette in guardia sulle notifiche legittime di SharePoint sfruttate per il phishing

I filtri antispam sono quasi sempre in grado di rilevare le e-mail di phishing con un link nel corpo del messaggio, quindi i criminali informatici perfezionano costantemente i loro metodi per cercare di superare le soluzioni di sicurezza. Attualmente, non si limitano a nascondere i link di phishing su un server SharePoint, come negli schemi precedentemente noti, ma li distribuiscono utilizzando notifiche di SharePoint legittime. Una soluzione di sicurezza Kaspersky ha filtrato oltre 1.600 notifiche malevole tra dicembre 2022 e febbraio 2023. I criminali informatici hanno cercato di ottenere i dati di aziende in Austria, Francia, India, Italia, Giappone, Paesi Bassi, Russia, Singapore, Corea del Sud, Spagna e Stati Uniti.

Questo sistema di notifiche legittime fa in modo che anche i dipendenti più esperti in ambito tecnologico abbassino la guardia: vengono, infatti, inviate a nome dei servizi di un’azienda reale e non suscitano dubbi, soprattutto se solitamente si utilizza SharePoint.

Come funziona il phishing attraverso le notifiche di Sharepoint

Un dipendente riceve una notifica standard di SharePoint in cui gli viene comunicato che qualcuno ha condiviso con lui un file OneNote. Si tratta di un’e-mail del tutto legittima, che può aggirare il filtro antispam più facilmente di un link di phishing nascosto in un server SharePoint.

Un dipendente clicca il link che apre il file OneNote menzionato, ma il testo della notifica contiene un’altra “comunicazione” con un’icona enorme relativa a un diverso tipo di file (ad esempio PDF) e un link di phishing standard.

Questo link di phishing conduce a un sito web che simula la pagina di login di Microsoft OneDrive. I criminali informatici lo utilizzano per rubare le credenziali di vari account e-mail, come Yahoo!, AOL, Outlook, Office 365 e altri.

Come le aziende possono limitare i rischi legati a questo tipo di phishing

Nonostante queste e-mail di phishing siano convincenti, è possibile distinguerle grazie a una serie di red flag che possono essere mostrati ai dipendenti.

"Prima di tutto, il file è sconosciuto, così come il mittente. Generalmente i colleghi non condividono documenti senza un’introduzione. Inoltre, ci sono altri segnali: un link al file OneNote all’interno della notifica e un file PDF che appare sul server all’improvviso. Peraltro, il link per il download porta a un sito di terze parti, il cui indirizzo web non è collegato all’organizzazione della vittima o al server SharePoint. Il sito di phishing imita la pagina di login di OneDrive, un altro servizio Microsoft non collegato a SharePoint. Per essere sicuri, è necessario prestare attenzione a tutte le e-mail sospette e verificare la presenza di tali incongruenze”, ha spiegato Roman Dedenok, Spam Analysis Expert di Kaspersky.