Pierwszy raz luka w zabezpieczeniach została odkryta w czerwcu tego roku. Hakerzy są w stanie przejąć kontrolę nad legalnym adresem URL od Microsoftu i udawać pracowników firmy, zwykle na wysokim stanowisku. Wysyłają wiadomości do określonych pracowników lub do całej firmy, zachęcając ich do otwarcia pliku .zip, który zawiera złośliwe oprogramowanie lub ransomware.
Skala zagrożenia
Piet Kerkhofs, współzałożyciel i dyrektor ds. technicznych Eye Security, ostrzega: „Biorąc pod uwagę wzrost liczby grup przestępczych wykorzystujących to jako podstawową metodę phishingu oraz setki milionów ludzi korzystających z Teams w firmach, możemy spodziewać się gwałtownego wzrostu liczby naruszeń oprogramowania ransomware i danych w nadchodzących miesiącach.”
Jak się obronić?
Mimo poważnego zagrożenia, istnieją sposoby na minimalizację ryzyka. Kerkhofs podkreśla, że firmy mogą ograniczać i zapobiegać atakom, blokując i zgłaszając złośliwe domeny oraz korzystając z narzędzi Microsoft, takich jak Purview. Najważniejsze jest jednak kontynuowanie szkoleń dla pracowników w celu zwiększenia ich świadomości na temat tego typu ataków.
Techniczne detale
Ataki zaczynają się od umożliwienia udostępniania plików spoza organizacji, co zwykle jest niemożliwe. Hakerzy mogą ominąć to ograniczenie, zmieniając identyfikator konta zewnętrznego i wewnętrznego w żądaniu POST do Teams. Technicznie nazywa się to “niepewnym bezpośrednim odniesieniem do obiektu”.
Ataki phishingowe na Microsoft Teams są coraz bardziej zaawansowane i stanowią poważne zagrożenie dla bezpieczeństwa korporacyjnego. Firmy muszą być świadome ryzyka i podjąć konkretne kroki w celu jego minimalizacji. Obejmuje to zarówno techniczne środki zabezpieczające, jak i edukację pracowników. Tylko w ten sposób można skutecznie zabezpieczyć się przed nową falą ataków.