SharePoint Login, Truffa via eMail

Sempre più frequenti sono le truffe legate al mondo office 365, quella che andiamo a vedere è stata realizzata sfruttando SharePoint.
Sharepoint è una piattaforma di Content Management System (CMS) sviluppata da Microsoft e inclusa nel pacchetto office 365 insieme ai classici word, excel, powerpoint ecc ecc.

Contatto tramite eMail

Ci arriva una mail nella quale veniamo informati che è stato condiviso con noi un file excel tramite SharePoint:

La mail risulta arrivare da noreply@nostrodominio (ovviamente non arriva dal nostro server smtp, se andiamo a vedere l’ip di provenienza possiamo capire a chi appartiene e tentare di geolocalizzarlo, peccato nel 99% dei casi arrivino da macchine compromesse) ed è molto simile ad una reale mail che manderebbe sharepoint; le domande che possiamo farci quando riceviamo una mail di questo genere sono:

• Il mittente può avere senso?
• In azienda usiamo sharepoint?

SharePoint, Tentativo di Phishing

Proviamo a scaricare il file e vediamo cosa succede:

il link ci ridirige su una pagina di phishing molto simile a quella originale, a prima vista sembra uguale, ma attenzione al url che contiene lettere casuali:

ovviamente è completamente diverso da quello della vera pagina di login di Microsoft.
Confrontiamo i certificati di questo sito con quello originale:

sulla sinistra il sito di phishing e sulla destra il sito autentico, possiamo vedere la differenza degli url e le differenti CA.

Conclusioni

Se avete qualsiasi dubbio su una email vi consiglio di rivolgervi al IT della vostra azienda oppure di ignorarla evitando di cliccare su qualsiasi link. Ci tengo a precisare che in questi casi se avete una buona suite di protezione sul vostro pc o sulla vostra rete il sito verrà bloccato appena tentate di accedervi.
Spero che le varie analisi e suggerimenti possano aiutare coloro che non hanno dimestichezza con l’informatica ma che, ricevendo un’email di questo tipo, possano essere vittime inconsapevoli dei cyber criminali.