Ohtlik Microsoft Teamsi ründemeetod

Varem olid pahatahtlikud meilid häkkerite jaoks levinud viis ettevõtte võrkude pahavaraga nakatamiseks. Tänapäeval kasutab üha enam ettevõtteid sisesuhtluseks koostöötööriistu nagu Microsoft Teams.

Lisaks kasutavad ettevõtted neid tööriistu COVID-19 pandeemia ajal üha enam kaugtööks.

Nüüd on ründajad mõistnud selle tööriista (ja teiste) potentsiaali ja kasutavad seda pahavara levitamiseks. Kuna töötajad ootavad harva, et neid nende kanalite kaudu sihitakse, kipuvad nad olema tavapärasest vähem ettevaatlikud, mis muudab nad lihtsaks sihtmärgiks.

See ajaveebi postitus kirjeldab, kuidas ründajad neid turvaauke ära kasutavad ja mida saavad kasutajad teha, et kaitsta ennast ja oma organisatsioone selliste rünnakute eest.

Kuidas nad ründavad

Microsoft Teams, koostööplatvorm, mis sisaldub selles Microsoft 365 tootepere, võimaldab kasutajatel pidada heli- ja videokonverentse, vestelda mitmes kanalis ja jagada faile.

Paljud ettevõtted üle maailma on võtnud Microsoft Teamsi kasutamise selle pandeemia ajal töötajate kaugkoostöö põhitööriistana.

Kanalivestluses pole teadaolevaid turvaauke, mida saaks ära kasutada pahavara sisestamiseks kasutaja süsteemi. Siiski on olemas meetod, mida saab kasutada pahatahtlikel eesmärkidel.

 Microsoft Teams lubab faile jagada seni, kuni faili suurus ei ületa 100 MB. Ründaja saab üles laadida mis tahes faili mis tahes avalikule kanalile Microsoft Teamsis ja igaüks, kellel on juurdepääs sellele kanalile, saab selle alla laadida.

Alates küberturvalisus Perspektiivis kõlab see nagu kullakaevandus: mis tahes meeskonnakanalilt pääsete juurde kõikidele vestlustele ja teabele, sealhulgas tundlikule teabele või intellektuaalomandile.

Kuna Teams võimaldab teil pääseda juurde kõikidele eri kanalites toimuvatele vestlustele, mis võivad sisaldada väga tundlikku teavet või intellektuaalomandit. Samuti võib see sisaldada tundlikke faile, mida kasutajad jagavad.

Siiski võivad Teamsist kasu saada ka rahaliselt motiveeritud küberkurjategijad, kuna neil võib olla võimalik tabada huvitavaid andmeid Teamsis, mis võib võimaldada neil sooritada rohkem pettusi, näiteks saada krediitkaarditeavet näiteks.

Väidetavalt alustavad ründajad sihitud andmepüügimeilidega, mis sisaldavad pahatahtlikke linke. Kui nendel klõpsavad organisatsioonide liikmed, kes kasutavad.

Kui ründaja üritab pääseda juurde ettevõtte ettevõtte ressursiplaneerimise süsteemile, on juurdepääsuks vaja ainult ühe töötaja kehtivaid mandaate. Levinud viis selliste mandaatide saamiseks on andmepüügikampaania käitamine sihtorganisatsiooni kuuluvate kasutajate peal.

Kui ründaja on saanud juurdepääsu ohvri meilikontole, saab ta Microsoft Teamsi kaudu sisse logida ja seejärel kasutada funktsiooni, mis võimaldab kasutajatel importida dokumente muudest allikatest.

Seejärel saab ründaja üles laadida pahatahtlikku JavaScripti sisaldava HTML-dokumendi ja linkida selle teise dokumendiga, mis käivitub, kui selle avavad teised töötajad, kellel on sellele juurdepääs.

Ründe võidakse sooritada ka kasutajate vastu, ostes algselt juurdepääsu vahendajalt kehtivad mandaadid või kasutades sotsiaalset manipuleerimist.

Teamsi kaudu nakatunud kasutajad

Ründaja pääseb otse ligi kõikidele konfidentsiaalsetele suhtluskanalitele töötajate, klientide ja partnerite vahel. Lisaks saavad ründajad privaatvestlusi lugeda ja nendega manipuleerida.

Rünnakud tulevad pahatahtlike meilide kujul, mis sisaldavad Arve dokumendi pilti. See pilt sisaldab pahatahtlikult loodud hüperlinki, mis on palja silmaga nähtamatu, kuid on klõpsamisel aktiivne.

Microsoft Teams on näinud aeg-ajalt tuhandeid rünnakuid. Ründaja viskab käivitatavad pahatahtlikud failid erinevatesse Teamsi vestlustesse. Need failid on troojalased ja võivad arvutisüsteemidele väga pahatahtlikud olla.

Kui fail on teie arvutisse installitud, saab arvuti kaaperdada, et teha asju, mida te ei kavatsenud teha.

Me ei tea, mis on ründajate lõppeesmärk. Võime vaid kahtlustada, et nad soovivad saada rohkem teavet oma sihtmärgi kohta või täielikku juurdepääsu sihitud võrgus olevatele arvutitele.

Need teadmised võisid anda neile võimaluse korraldada finantspettusi või küberspionaaži.

Linki ei tuvastata

Mis teeb Microsoft Teams on haavatav on see, et selle infrastruktuur ei ole ehitatud turvalisust silmas pidades. Sellisena pole sellel pahatahtlike linkide tuvastamise süsteemi ja sellel on ainult tavaline viirusetuvastusmootor.

Kuna kasutajad kipuvad usaldama seda, mis on nende ettevõtete pakutaval platvormil, võivad nad olla haavatavad pahavara jagamise ja nakatumise suhtes.

Üllatav usalduse tase paneb kasutajad end uue platvormi kasutamisel turvaliselt tundma. Kasutajad võivad olla oma andmetega palju heldemad kui tavaliselt.

Ründajad ei saa mitte ainult inimesi petta, pannes vestluskanalitesse nakatavaid faile või linke, vaid nad võivad saata kasutajatele ka privaatsõnumeid ja petta neid sotsiaalse insenertehniliste oskustega.

Enamik kasutajaid ei hooli failide kõvakettale salvestamisest ja viirusetõrje- või ohutuvastustoodete käivitamisest enne failide avamist.

Igapäevaste küberrünnakute arv kasvab jätkuvalt, kui rohkem organisatsioone seda tüüpi tegevustesse kaasatakse.

Kaitseplaan

Alustuseks peaksid kasutajad võtma ettevaatusabinõusid oma e-posti aadresside, kasutajanimede ja paroolide kaitsmiseks.

Meeskonna struktuuri ohuga toimetulemiseks soovitatakse teil;

• Lubage kaheastmeline kinnitamine Microsofti kontodel, mida kasutate Teamsi jaoks.
• Kui failid kukuvad Teamsi kaustadesse, lisage neile failidele rohkem turvalisust. Saatke nende räsid VirusTotalile veendumaks, et tegemist pole pahatahtlike koodidega.
• Lisage Teamsis jagatud linkidele lisaturvalisus ja kasutage kindlasti mainekaid linkide kontrollimise teenuseid.
• Veenduge, et töötajad oleksid teadlikud suhtlus- ja jagamisplatvormide kasutamisega kaasnevatest riskidest.

Kas teie organisatsioon kasutab Microsofti meeskondi? Kas keegi on kogenud platvormil küberrünnakuid? Jagage oma seisukohti kommentaaride jaotises.