A Check Point® Research (CPR), da Check Point® Software Technologies Ltd. (NASDAQ: CHKP) (NASDAQ: CHKP), pioneira e líder global em soluções de cibersegurança, identificou uma campanha de phishing que se faz passar por notificações do Microsoft SharePoint e por aplicações de assinatura eletrónica, com o objetivo de induzir utilizadores a clicar em links maliciosos e a expor credenciais. Nas últimas duas semanas, os atacantes enviaram mais de 40.000 emails e visaram cerca de 6.100 empresas, segundo dados observados pelo Check Point Harmony Email.

A campanha recorre a mensagens com aparência credível, com temas financeiros e supostas notificações de documentos, que replicam elementos visuais comuns em comunicações legítimas. Entre os exemplos observados surgem botões de ação como “Review Document” e nomes de remetente que imitam padrões de serviços reais, como “via SharePoint (Online)” ou referências a “eSign”, o que aumenta a probabilidade de clique, sobretudo em organizações com fluxos frequentes de contratos, propostas e faturas.

Um dos aspetos mais relevantes desta operação passa pelo uso de reescrita de links “seguros” para reforçar a confiança do destinatário. Os atacantes abusam do mecanismo de reescrita de URLs do Mimecast (Secure Link), encaminhando o clique através de um domínio de confiança para reduzir suspeitas e aumentar as hipóteses de contornar filtros automáticos.

Em paralelo, a Check Point detetou uma variante de menor dimensão que imita notificações do DocuSign. Nesta abordagem, o link passa por um URL do Bitdefender GravityZone e, depois, por tracking do Intercom, com redirecionamentos tokenizados que ocultam o destino final e complicam a deteção do comportamento malicioso.

A telemetria analisada indica que a campanha atingiu organizações sobretudo nos EUA, Europa, Canadá, APAC e Médio Oriente, com maior volume observado nos EUA, seguido da Europa, Canadá, Ásia, Austrália e Médio Oriente (com base no alojamento de dados na infraestrutura). Entre os setores mais visados surgem consultoria, tecnologia e construção/imobiliário, além de saúde, finanças, indústria, media/marketing, transportes e logística, energia, educação, retalho, hotelaria/viagens e governo, áreas onde a troca de documentos e pedidos de assinatura cria um contexto perfeito para iscos deste tipo.

“Esta campanha mostra como os atacantes estão a sofisticar as técnicas de engenharia social, explorando ferramentas legítimas e identidades digitais familiares, como o SharePoint ou plataformas de assinatura eletrónica, para aumentar a taxa de clique e contornar defesas tradicionais. Em Portugal, onde a digitalização acelerou a troca de documentos e aprovações à distância, é essencial reforçar a proteção do email, validar sempre o remetente e o destino dos links e apostar numa cultura de ciber-higiene contínua, porque, muitas vezes, um único clique basta para comprometer uma organização.” reforça Rui Duro, Country Manager para Portugal, Check Point Software Technologies.

A Check Point recomenda que utilizadores e organizações reforcem a verificação do remetente e do contexto antes de abrir documentos recebidos por email, validem o destino dos links antes do clique e, sempre que possível, acedam diretamente às plataformas oficiais no navegador para confirmar a existência do documento, em vez de utilizarem o link da mensagem. A empresa sublinha ainda a importância de sensibilização contínua e de controlos técnicos de proteção de email e de URLs, incluindo deteção e bloqueio de tentativas de phishing.

A Mimecast afirma que este tipo de campanhas pode abusar de serviços legítimos de redirecionamento para ofuscar links maliciosos, sem resultar de uma vulnerabilidade na plataforma, e refere que dispõe de mecanismos de deteção e análise de URLs com o objetivo de identificar e bloquear estas ameaças.