Nel tentativo di ottenere le credenziali aziendali, i criminali informatici nascondono i link di phishing in un file su un server SharePoint violato e li distribuiscono attraverso un meccanismo di notifica tradizionale. Queste e-mail riescono a eludere più facilmente i filtri antispam e sembrano più credibili, soprattutto se l’azienda utilizza questo servizio. Recentemente, gli esperti di Kaspersky hanno rilevato più di 1.600 notifiche dannose con potenziali vittime in Europa, Nord America e altre ragioni. Sebbene la portata degli attacchi non sia ancora massiccia, le aziende dovrebbero essere consapevoli del nuovo meccanismo e mitigare i rischi in anticipo.
I filtri antispam sono quasi sempre in grado di rilevare le e-mail di phishing con un link nel corpo del messaggio, quindi i criminali informatici perfezionano costantemente i loro metodi per cercare di superare le soluzioni di sicurezza. Attualmente, non si limitano a nascondere i link di phishing su un server SharePoint, come negli schemi precedentemente noti, ma li distribuiscono utilizzando notifiche di SharePoint legittime. Una soluzione di sicurezza Kaspersky ha filtrato oltre 1.600 notifiche malevole tra dicembre 2022 e febbraio 2023. I criminali informatici hanno cercato di ottenere i dati di aziende in Austria, Francia, India, Italia, Giappone, Paesi Bassi, Russia, Singapore, Corea del Sud, Spagna e Stati Uniti.
Questo sistema di notifiche legittime fa in modo che anche i dipendenti più esperti in ambito tecnologico abbassino la guardia: vengono, infatti, inviate a nome dei servizi di un’azienda reale e non suscitano dubbi, soprattutto se solitamente si utilizza SharePoint.
Come funziona il phishing attraverso le notifiche di Sharepoint
Un dipendente riceve una notifica standard di SharePoint in cui gli viene comunicato che qualcuno ha condiviso con lui un file OneNote. Si tratta di un’e-mail del tutto legittima, che può aggirare il filtro antispam più facilmente di un link di phishing nascosto in un server SharePoint.
Esempio di notifica legittima in SharePoint
Un dipendente clicca il link che apre il file OneNote menzionato, ma il testo della notifica contiene un’altra “comunicazione” con un’icona enorme relativa a un diverso tipo di file (ad esempio PDF) e un link di phishing standard.
File OneNote dannoso sul server SharePoint con icona PDF
Questo link di phishing conduce a un sito web che simula la pagina di login di Microsoft OneDrive. I criminali informatici lo utilizzano per rubare le credenziali di vari account e-mail, come Yahoo!, AOL, Outlook, Office 365 e altri.
Un sito web fraudolento che imita la pagina di login di Microsoft OneDrive
Come le aziende possono limitare i rischi legati a questo tipo di phishing
Nonostante queste e-mail di phishing siano convincenti, è possibile distinguerle grazie a una serie di red flag che possono essere mostrati ai dipendenti.
“Prima di tutto, il file è sconosciuto, così come il mittente. Generalmente i colleghi non condividono documenti senza un’introduzione. Inoltre, ci sono altri segnali: un link al file OneNote all’interno della notifica e un file PDF che appare sul server all’improvviso. Peraltro, il link per il download porta a un sito di terze parti, il cui indirizzo web non è collegato all’organizzazione della vittima o al server SharePoint. Il sito di phishing imita la pagina di login di OneDrive, un altro servizio Microsoft non collegato a SharePoint. Per essere sicuri, è necessario prestare attenzione a tutte le e-mail sospette e verificare la presenza di tali incongruenze”, ha spiegato Roman Dedenok, Spam Analysis Expert di Kaspersky.
Ulteriori informazioni sul phishing attraverso le notifiche di SharePoint sono disponibili sul blog di Kaspersky.
Per essere sempre protetti dalle tecniche di phishing che colpiscono piccole, medie e grandi imprese, Kaspersky consiglia di:
- Utilizzare soluzioni di sicurezza con tecnologie anti-phishing non solo sui server di posta dell’azienda, ma anche sui dispositivi business di tutti i dipendenti.
- Fornire al proprio personale una formazione di base in materia di cybersecurity. È importante effettuare simulazioni di un attacco di phishing per assicurarsi che il personale sia in grado di distinguere le e-mail di phishing.
- Se si usa il servizio cloud Microsoft 365, è bene non dimenticare di proteggere anche questo. Kaspersky Security for Microsoft Office 365 offre funzionalità dedicate anti-spam e anti-phishing, oltre a proteggere le app SharePoint, Teams e OneDrive per garantire la sicurezza delle comunicazioni aziendali.
