Uma nova onda de ataques de phishing altamente convincentes está conseguindo burlar uma das medidas de segurança mais confiáveis na empresa moderna: a autenticação de dois fatores (2FA). A técnica, que levou a alertas urgentes de agências nacionais de cibersegurança, envolve o uso malicioso da infraestrutura legítima de colaboração do Microsoft SharePoint para hospedar páginas fraudulentas de captura de credenciais. Esta campanha marca uma evolução perigosa na engenharia social, visando diretamente o ecossistema corporativo global.
A cadeia de ataque começa com um e-mail enganoso, que frequentemente se passa por um colega de confiança, um departamento interno ou um parceiro externo. O e-mail contém um link que, crucialmente, aponta para um domínio genuíno do Microsoft SharePoint Online (por exemplo, *.sharepoint.com). Como este domínio é inerentemente confiável para os sistemas de segurança de e-mail e firewalls corporativos, o link malicioso evita facilmente a filtragem padrão de URL e verificações de reputação. A vítima, ao ver uma URL legítima do SharePoint, tem muito mais probabilidade de clicar sem suspeitas.
Ao clicar, o usuário é levado a uma página do SharePoint criada profissionalmente que imita perfeitamente um portal de login legítimo do Microsoft 365. A página está hospedada no serviço real do SharePoint, tornando seu certificado SSL válido e sua origem inquestionavelmente autêntica da perspectiva do navegador. É solicitado que o usuário insira seu nome de usuário e senha corporativos. Aqui é onde o ataque inova para derrotar a 2FA.
Após a vítima enviar suas credenciais, a página de phishing exibe um segundo prompt, solicitando o código único de seu aplicativo autenticador, SMS ou outro método 2FA. O usuário, acreditando estar em uma página real da Microsoft como parte de um processo de verificação em várias etapas, frequentemente fornece o código. Os atacantes capturam tanto a senha estática quanto o código temporário em tempo real. Usando ferramentas automatizadas, eles imediatamente injetam essas credenciais na sessão real de login do Microsoft 365, obtendo acesso total ao e-mail, Teams, OneDrive e outros serviços conectados da vítima antes que o código único expire.
O Centro Nacional de Cibersegurança (NCSC) da Suíça tem sido particularmente vocal em seus alertas, observando que este método levou a um número significativo de comprometimentos de conta bem-sucedidos dentro de organizações do governo e do setor privado suíço. O sucesso da campanha reside na exploração da confiança inerente. As ferramentas de segurança são projetadas para bloquear links para domínios maliciosos conhecidos, mas sharepoint.com não é um domínio malicioso – é uma plataforma de negócios central usada por milhões diariamente. O ataque desloca a carga maliciosa do destino do link para o conteúdo hospedado dentro desse destino confiável.
Implicações Técnicas e Mudanças na Defesa:
Este vetor de ataque requer uma mudança fundamental nas estratégias de defesa em profundidade. Gateways de segurança de e-mail tradicionais que analisam principalmente as URLs dos links são insuficientes. As organizações devem agora considerar:
- Treinamento Aprimorado do Usuário: Os funcionários devem ser treinados para examinar minuciosamente os prompts de autenticação, mesmo quando aparecem em plataformas confiáveis. A lição principal é que uma plataforma legítima pode hospedar conteúdo ilegítimo.
- Segurança em Nível de Aplicativo: Implementar políticas de Acesso Condicional no Azure AD que restrinjam logins de locais não familiares, dispositivos não compatíveis ou que sigam padrões de viagem impossíveis pode mitigar o dano mesmo se as credenciais forem roubadas.
- Autenticação Resistente a Phishing: A defesa definitiva é migrar para métodos 2FA resistentes a phishing, como chaves de segurança FIDO2 (por exemplo, YubiKey) ou Windows Hello para Empresas. Esses métodos usam desafios criptográficos que não podem ser interceptados e reutilizados por um site de phishing.
- Inspeção de Conteúdo para SaaS: Soluções de segurança capazes de escanear e analisar o conteúdo dentro de aplicativos SaaS autorizados, como o SharePoint, em busca de formulários de phishing estão se tornando essenciais.
- Monitoramento de DNS e Rede: Monitorar padrões de tráfego anômalos dos endpoints para o SharePoint, especialmente sequências rápidas de tentativas de autenticação, pode ajudar a detectar contas comprometidas.
A campanha "O Cerco ao SharePoint" é um lembrete contundente de que, à medida que as organizações adotam e confiam em suites de colaboração em nuvem, os atacantes se adaptam rapidamente e exploram essa mesma confiança. Defender-se contra essas táticas avançadas de Comprometimento de E-mail Corporativo (BEC) requer ir além do bloqueio de links baseado em perímetro para uma abordagem mais holística, centrada na proteção de identidade, conscientização do usuário e adoção de padrões de autenticação à prova de phishing.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.