Historias reales: Microsoft SharePoint phishing, un engaño laberíntico

Fecha de publicación 12/11/2020
Autor
INCIBE (INCIBE)
Historias reales: Microsoft SharePoint phishing, un engaño laberíntico

Luis es el jefe de proyectos de una empresa de desarrollos industriales, en la que sus socios y proveedores se mantienen habitualmente en contacto por correo electrónico para intercambiar información.

Como cada mañana, Luis abre su correo y ve un mensaje de uno de sus socios tecnológicos en el que invita a varios compañeros de su empresa a participar en un nuevo proyecto.

Luis sigue las instrucciones del mensaje, utiliza sus credenciales de correo electrónico, como le requieren para poder verlo, pero obtiene un error. Pensando que se ha equivocado vuelve a intentarlo, pero el error continúa. Como el sitio web le da opción de utilizar varios sistemas de autenticación, prueba con otras credenciales obteniendo el mismo error.

Al ver que la página falla, continúa trabajando y contesta al correo de su socio diciéndole que no ha podido acceder al documento enviado.

Al día siguiente, viendo que no obtiene respuesta, Luis decide contactar por teléfono con el remitente del correo, pero para su sorpresa, su socio le comunica que no ha enviado ningún mensaje; es más, su cuenta permanece inaccesible desde hace un par de días, aunque aún desconoce los motivos.

Mientras Luis se está preguntando qué ha ocurrido, un error en su cliente de correo electrónico aparece en su pantalla. Al comprobar que no puede enviar correos ni recibirlos, contacta con su servicio de soporte informático, el cual, tras una investigación del error, determina que Luis ha sido víctima de un ciberataque.

Nuestro protagonista de esta historia jamás se hubiera imaginado que estaba siguiendo un camino perfectamente orquestado por los ciberdelincuentes para conseguir su objetivo: robar sus credenciales de acceso.

¿Qué ocurrió realmente?

Al mismo tiempo que los avances en materia de ciberseguridad no paran de mejorar, lo hacen los métodos que emplean los ciberdelincuentes, buscando nuevas formas de traspasar las barreras de protección de la manera más sigilosa y eficiente que sea posible. Así es como un grupo de ellos han desarrollado una ingeniosa y novedosa técnica apoyándose en el uso de Microsoft SharePoint de forma legítima.

Su principal novedad consiste en que se trata de un tipo de ciberataque que logra superar los filtros de spam, ya que la mayoría de ellos, consideran los enlaces de SharePoint como legítimos.

Para el usuario este tipo de amenaza conlleva un riesgo elevado, pues al entrar a su bandeja de entrada lo considerará legítimo e interactuará con él. Luis había recibido un correo de un remitente conocido y con un contenido aparentemente legítimo.

¿En qué consiste este ciberataque? ¿Cuál es su objetivo?

Microsoft SharePoint es una aplicación basada en la nube y dirigida al entorno empresarial, que permite crear pequeños sitios web para compartir información entre empleados, clientes o proveedores, mediante un sistema de enlaces y permisos de acceso.

Cuando el protagonista de esta historia abrió su correo, vio un mensaje de SharePoint, una aplicación con la que ya había trabajado en otras ocasiones, por lo que no se paró a pensar que podía estar siendo víctima de un engaño. Además, si estaba en su bandeja de entrada significaba que había pasado los filtros de spam y de virus, tanto de su proveedor como de su propia empresa y su equipo local.

En realidad así fue, el mensaje había superado todos los filtros antispam y antivirus, pues lo cierto es que era un mensaje legítimo; por tanto, Luis accedió al contenido del mensaje de SharePoint, sin percatarse de que el verdadero engaño estaba dentro del documento compartido.

Al abrir el documento figuraba un enlace en el que se mostraría la supuesta información, y al hacer clic en él, se abría una página falsa suplantando a la de su socio, donde para acceder debía identificarse primero con unas credenciales de correo electrónico.

Luis escribió sin pensarlo su cuenta corporativa y su contraseña, y como no funcionaba, también probó con su cuenta personal, pues facilitaban varios métodos de autenticación. Tras intentarlo varias veces no consiguió acceder a ningún sitio, ya que todo se trataba de un engaño para capturar sus credenciales.

Al día siguiente, sus cuentas habían sido comprometidas y se estaban usando para realizar otros engaños y para acceder a la información sensible de su empresa.

A través de SharePoint los ciberdelincuentes realizan un ataque basado en el phishing, con el que consiguen hacer llegar enlaces a sus víctimas que resulten atractivos. Para ello, emplean enlaces de suplantación de identidad de redes sociales, entidades bancarias, falsas campañas comerciales, supuestas notificaciones de empresas públicas o fraudes conocidos, como el de aceptaciones de supuestas herencias millonarias.

Medidas de protección

Podríamos definir dos fases en cualquier ciberataque de estas características: la prevención y la contención. En la primera de ellas debemos:

  • Desconfiar de remitentes de correo desconocidos y ser cautos con los archivos adjuntos y enlaces de cualquier remitente. Si tenemos dudas sobre un archivo adjunto podemos optar por dos alternativas:
    • Escanear el archivo con un antivirus online antes de abrirlo.
    • No ejecutarlo bajo ningún concepto.
  • Verificar la dirección de un enlace contenido en un documento antes de abrirlo. Si el nombre del enlace no apunta a un sitio web reconocido y con cifrado (https), es mejor descartarlo.
  • No abrir enlaces desde el correo electrónico. Como norma general, podemos decir que no es una buena práctica abrir un enlace que esté incluido en un correo electrónico e introducir datos en él. Siempre debemos desconfiar, sobre todo si el remitente no es conocido.
  • Utilizar software de protección contra spam, virus y malware permanentemente actualizado (protección pasiva). Esto ayudará a detectar los enlaces sospechosos en el momento de intentar abrirlos.

Si finalmente hemos caído en la trampa y hemos aportado datos personales, ante la duda, no debemos esperar a ver qué ocurre, sino actuar lo antes posible, y para ello debemos:

  • Cambiar las contraseñas implicadas en el ataque y en cualquier servicio que se repita (cuenta de usuario local del equipo, correo, sitios web, bancos, etc.).
  • Emplear contraseñas robustas o difíciles de adivinar (compuestas por letras, números y símbolos).
  • Activar la autenticación de doble factor o multifactor.
  • Escanear el sistema en busca de posibles amenazas que hayan podido entrar.

En ciberseguridad siempre «vale más prevenir que curar». Anticípate al ciberdelincuente yendo un paso por delante de él y protege tus dispositivos.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Etiquetas