Novo método de Pishing ignora as proteções Microsoft Office 365

 phishing funciona, não importa o quanto uma empresa tente proteger seus clientes ou funcionários.

Pesquisadores de segurança têm alertado sobre um novo ataque de phishing que cibercriminosos e scammers de e-mail estão usando na natureza para contornar o mecanismo ATP (Advanced Threat Protection) implementado por serviços de e-mail amplamente usados ​​como o Microsoft Office 365. O

Microsoft Office 365 é um solução para usuários que oferece vários serviços online diferentes, incluindo o Exchange Online, o SharePoint Online, o Lync Online e outros Office Web Apps, como o Word, Excel, PowerPoint, Outlook e OneNote.

No topo desses serviços, a Microsoft também oferece inteligência artificial e aprendizado de máquina com proteção de segurança para ajudar a se defender contra potenciais ataques de phishing e outras ameaças, indo a um nível de profundidade para verificar os links nos corpos de email para procurar qualquer domínio na lista negra ou suspeito.

Mas, como eu disse, os phishers sempre encontram uma maneira de contornar as proteções de segurança, a fim de vitimizar os usuários.

Há pouco mais de um mês, os golpistas foram encontrados usando a técnica ZeroFont para imitar uma empresa popular e enganaram os usuários para que fornecessem suas informações pessoais e bancárias.

Em maio de 2018, cibercriminosos também foram encontrados dividindo a URL maliciosa deforma que o recurso de segurança Links Seguros no Office 365 não identificasse e substituísse o hiperlink parcial, eventualmente redirecionando as vítimas para o site de phishing.

Como o ataque de phishing do SharePoint funciona?

Esses problemas foram então resolvidos pela Microsoft no final, mas os phishers agora foram encontrados usando um novo truque para burlar as proteções de segurança e os usuários de phish internos do Office 365 - dessa vez inserindo links maliciosos nos documentos do SharePoint.

A mesma empresa de segurança em nuvem Avanan, que descobriu os dois ataques de phishing mencionados acima, descobriu uma nova campanha de e-mail de phishing no ar , visando usuários do Office 365, que recebem e-mails da Microsoft contendo um link para um documento do SharePoint.

O corpo da mensagem de email parece idêntico a um convite padrão do SharePoint de alguém para colaborar. Depois que o usuário clica no hiperlink no email, o navegador abre automaticamente um arquivo do SharePoint.

O conteúdo do arquivo do SharePoint representa uma solicitação de acesso padrão para um arquivo do OneDrive, mas um botão "Documento de Acesso" no arquivo é realmente vinculado a uma URL mal-intencionada, de acordo com os pesquisadores.

O link malicioso, em seguida, redireciona a vítima para uma tela de login falsificada do Office 365, pedindo ao usuário para inserir suas credenciais de login, que são então colhidas por hackers.

A Microsoft examina o corpo de um email, incluindo os links fornecidos, mas como os links da última campanha de email levam a um documento real do SharePoint, a empresa não o identificou como uma ameaça.

"Para identificar essa ameaça, a Microsoft teria que escanear links dentro de documentos compartilhados para URLs de phishing. Isso apresenta uma clara vulnerabilidade que os hackers aproveitaram para propagar ataques de phishing", disseram os pesquisadores.

"Mesmo que a Microsoft varresse links dentro de arquivos, eles enfrentariam outro desafio: eles não poderiam colocar o URL na lista negra sem incluir links em todos os arquivos do SharePoint. Se eles colocassem a URL completa do arquivo do SharePoint, os hackers poderiam facilmente criar um novo URL "

Portanto, nenhuma proteção seria capaz de alertar os usuários de phishing até que eles não sejam treinados o suficiente para detectar essas tentativas de phishing.

De acordo com a empresa de segurança em nuvem, esse novo ataque de phishing foi aproveitado contra 10% de seus clientes do Office 365 nas últimas duas semanas, e a empresa acredita que a mesma porcentagem se aplica aos usuários do Office 365 globalmente.

Portanto, para se proteger, você deve suspeitar dos URLs no corpo do e-mail se usar URGENT ou ACTION REQUIRED na linha de assunto, mesmo se estiver recebendo e-mails que pareçam seguros.

Quando apresentado uma página de login, é recomendável sempre verificar a barra de endereços no navegador da web para saber se o URL é realmente hospedado pelo serviço legítimo ou não.

Mais importante, sempre use autenticação de dois fatores (2FA), portanto, mesmo se os invasores obtiverem acesso à sua senha, eles ainda precisarão lutar pela segunda etapa de autenticação.

No entanto, os pesquisadores observaram que, se esse ataque envolver links para acionar um download de malware, em vez de direcionar os usuários para uma página de phishing, "o ataque teria causado danos quando o usuário clicasse e investigasse o URL".

FONTE:THEHACKERNEWS