Microsoft Sharepoint é explorado para invadir empresas de energia

Hackers estão se aproveitando do Microsoft Sharepoint para realizar ataques em grandes empresas do setor de energia: são roubadas as credenciais de funcionários no início do ataque, usando o acesso para aprofundar a invasão. Um relatório da própria Microsoft relatou os incidentes recentes envolvendo o software.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Os cibercriminosos usam contas de e-mail comprometidas em ataques anteriores para fazer contato com funcionários das empresas, enviando mensagens com links SharePoint. Uma vez clicados, eles levam a vítima a um site falso feito para roubar credenciais, onde o usuário faz login sem desconfiar de nada.

Exploração do SharePoint

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Ao invés de fazer login, como seria de se esperar, a vítima do ataque acaba compartilhando suas credenciais com os hackers, que ganham acesso a contas de e-mail corporativas e as acessam de IPs diferentes. A partir daí, estabelecem persistência no sistema enquanto ficam escondidos do usuário. Isso inclui a criação de regras de inbox para deletar mensagens recebidas e marcar e-mails como lidos, evitando análises.

São enviados, então, grandes volumes de e-mails de phishing tanto para contatos corporativos internos quanto externos, bem como listas de distribuição. As inboxes são monitoradas, passando a entregar mensagens de erro e deletar avisos de ausência, o que dá a impressão de que o endereço continua legítimo. Respostas são “lidas” e perguntas são respondidas pelos golpistas.

Segundo a Microsoft, não basta redefinir a senha para escapar do golpe, já que os hackers criam regras e mudam configurações para persistir na conta: um dos métodos envolve adulterar a autenticação por dois fatores para enviar a mensagem aos cibercriminosos, e não ao usuário.

Outra tática envolve só permitir o login com uma senha de uso único (OTP) enviada também para o número golpista. O melhor a se fazer é, como sempre, manter a desconfiança e nunca clicar em links suspeitos recebidos por e-mail: a autenticação por dois fatores segue importante, e, segundo a Microsoft, convém estabelecer políticas de acesso que avaliam IP, localização e status do dispositivo, gerando alertas de segurança quando há comportamento suspeito.

Leia também:

• Campanha usa CAPTCHA falso e script do Microsoft App-V para roubar dados
• Extensões maliciosas de IA para o VSCode podem ter afetado milhões de usuários
• 1Password vai avisar clientes sobre sites suspeitos de phishing com pop-up

VÍDEO: O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts

Fonte: Microsoft