{"id":28573,"date":"2023-03-28T15:39:28","date_gmt":"2023-03-28T13:39:28","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28573"},"modified":"2023-03-28T15:57:44","modified_gmt":"2023-03-28T13:57:44","slug":"sharepoint-notification-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/sharepoint-notification-scam\/28573\/","title":{"rendered":"SharePoint como una herramienta de phishing"},"content":{"rendered":"

Los enlaces de phishing en el cuerpo de un e-mail son cosa del pasado. Ahora los filtros de los correos electr\u00f3nicos detectan este truco de ataque con una eficiencia de casi el 100 %. Por ello, los ciberdelincuentes andan inventando constantemente nuevos m\u00e9todos para obtener credenciales de inicio de sesi\u00f3n corporativas. De hecho, hace poco nos encontramos con un m\u00e9todo bastante interesante que utiliza servidores de SharePoint totalmente leg\u00edtimos. En esta publicaci\u00f3n, te explicamos c\u00f3mo funciona esta nueva estrategia y qu\u00e9 deben tener en cuenta los empleados para evitar problemas.<\/p>\n

Anatom\u00eda del phishing de SharePoint<\/h2>\n

El empleado recibe una notificaci\u00f3n est\u00e1ndar sobre alguien que comparte un archivo. Es poco probable que esto despierte sospechas, sobre todo si la empresa en la que trabaja el empleado usa SharePoint. Esto se debe a que se trata de una notificaci\u00f3n real de un servidor de SharePoint aut\u00e9ntico.<\/p>\n

\"Notificaci\u00f3n

Notificaci\u00f3n leg\u00edtima de un servidor de SharePoint.<\/p><\/div>\n

\u00a0<\/p>\n

El empleado desprevenido hace clic en el enlace que lo redirige a un servidor aut\u00e9ntico en SharePoint, donde el supuesto archivo de OneNote aparece tal cual se esperaba. Solo que en su interior parece haber otra notificaci\u00f3n de archivo que contiene un icono de gran tama\u00f1o: esta vez un archivo PDF. Dando por hecho que se trata de otro paso m\u00e1s en el proceso de descarga, la v\u00edctima hace clic en el enlace, que ahora es un phishing est\u00e1ndar.<\/p>\n

\"Contenido

Contenido del supuesto archivo de OneNote en el servidor de SharePoint.<\/p><\/div>\n

Este enlace, a su vez, abre un sitio de phishing est\u00e1ndar que imita la p\u00e1gina de inicio de sesi\u00f3n de OneDrive, que roba f\u00e1cilmente las credenciales de inicio de sesi\u00f3n de Yahoo!, AOL, Outlook, Office 365 o cualquier otro servicio de correo electr\u00f3nico.<\/p>\n

\"P\u00e1gina

P\u00e1gina falsa de inicio de sesi\u00f3n de Microsoft OneDrive.<\/p><\/div>\n

Qu\u00e9 tiene de peligroso este tipo de phishing<\/h2>\n

Evidentemente, no estamos ante el primer caso de phishing basado en SharePoint<\/a>. Sin embargo, esta vez los atacantes no solo ocultan el enlace de phishing en un servidor de SharePoint, sino que lo distribuyen a trav\u00e9s del mecanismo de notificaci\u00f3n nativo de la plataforma. Esto es posible gracias a los desarrolladores de Microsoft, que habilitaron una funci\u00f3n en SharePoint que te permite compartir un archivo que se encuentra en un sitio corporativo de SharePoint con participantes externos que no tienen acceso directo al servidor. Las instrucciones<\/a> con los pasos a seguir est\u00e1n en el sitio web de la compa\u00f1\u00eda.<\/p>\n

Todo lo que tienen que hacer los atacantes es obtener acceso al servidor de SharePoint de alguien, usando un truco de phishing similar o cualquier otro. Una vez hecho esto, cargan el archivo con el enlace y a\u00f1aden una lista de correos electr\u00f3nicos con quienes compartirlo. Despu\u00e9s, es el propio SharePoint el que notifica a los propietarios del correo electr\u00f3nico; notificaciones que pasar\u00e1n todos los filtros, dado que realmente provienen del servicio leg\u00edtimo de una empresa real.<\/p>\n

C\u00f3mo mantenerte a salvo<\/h2>\n

Para evitar que tus empleados caigan en la trampa de los correos electr\u00f3nicos fraudulentos, deben poder detectar las se\u00f1ales que lo delatan. En este caso, las banderas rojas (y obvias) son las siguientes:<\/p>\n