- C'è stato un annuncio riguardante gli attacchi informatici a Microsoft Teams rivolti agli utenti aziendali.
- Per accedere alla piattaforma Teams, un utente malintenzionato richiede credenziali valide da uno dei dipendenti dell'entità presa di mira.
- Gli utenti devono quindi assicurarsi che le proprie credenziali di posta elettronica siano mantenute al sicuro.
In passato, le e-mail dannose erano un modo comune per gli hacker di infettare le reti aziendali con malware. Oggi sempre più aziende utilizzano strumenti di collaborazione come Microsoft Teams per la comunicazione interna.
Inoltre, questi strumenti sono sempre più utilizzati dalle aziende per il lavoro a distanza durante la pandemia di COVID-19.
Ora, gli aggressori hanno riconosciuto il potenziale di questo strumento (e altri) e lo stanno utilizzando per diffondere malware. Poiché i dipendenti raramente si aspettano di essere presi di mira attraverso questi canali, tendono a essere meno cauti del solito, il che li rende facili bersagli.
Questo post del blog descrive come gli aggressori stanno sfruttando queste vulnerabilità e cosa possono fare gli utenti per proteggere se stessi e le loro organizzazioni da tali attacchi.
Come attaccano
Microsoft Teams, una piattaforma di collaborazione inclusa nel Microsoft 365 famiglia di prodotti, consente agli utenti di effettuare conferenze audio e video, chattare su più canali e condividere file.
Molte aziende in tutto il mondo hanno adottato l'uso di Microsoft Teams come strumento principale per la collaborazione remota dei dipendenti durante questa pandemia.
Non ci sono vulnerabilità note nella chat del canale che potrebbero essere sfruttate per iniettare malware nel sistema di un utente. Tuttavia, esiste un metodo esistente che potrebbe essere utilizzato per scopi dannosi.
Microsoft Teams consente la condivisione di file purché la dimensione del file non superi i 100 MB. Un utente malintenzionato può caricare qualsiasi file su qualsiasi canale pubblico in Microsoft Teams e chiunque abbia accesso al canale potrà scaricarlo.
Da un sicurezza informatica prospettiva, sembra una miniera d'oro: da qualsiasi canale del team, puoi accedere a tutte le conversazioni e alle informazioni, comprese le informazioni sensibili o la proprietà intellettuale.
Poiché Teams ti consente di accedere a tutte le conversazioni su diversi canali che potrebbero contenere informazioni molto riservate o proprietà intellettuale. Potrebbe anche contenere file sensibili condivisi tra i suoi utenti.
Tuttavia, anche i criminali informatici motivati dal punto di vista finanziario possono trarre vantaggio da Teams, poiché potrebbero essere in grado di catturare dati interessanti all'interno di Teams, che potrebbero consentire loro di commettere più frodi, come ottenere informazioni sulla carta di credito Per esempio.
Si dice che gli aggressori inizino con e-mail di spear phishing mirate che contengono collegamenti dannosi. Se vengono cliccati dai membri delle organizzazioni che utilizzano.
Quando un utente malintenzionato tenta di accedere al sistema di pianificazione delle risorse aziendali di un'azienda, l'unica cosa necessaria per l'accesso sono le credenziali valide per uno dei dipendenti. Un modo comune per ottenere tali credenziali è eseguire una campagna di phishing sugli utenti che si trovano nell'organizzazione di destinazione.
Una volta che un utente malintenzionato ha ottenuto l'accesso all'account di posta elettronica di una vittima, può accedere tramite Microsoft Teams e quindi utilizzare la funzionalità che consente agli utenti di importare documenti da altre fonti.
L'attaccante può quindi caricare un documento HTML che contiene JavaScript dannoso e collegarlo a un altro documento che verrà eseguito quando aperto da altri dipendenti che hanno accesso ad esso.
Gli attacchi possono essere effettuati anche contro utenti acquistando credenziali valide da un broker di accesso iniziale o tramite social engineering.
Utenti infettati tramite Teams
L'attaccante può accedere direttamente a tutti i canali di comunicazione riservati tra dipendenti, clienti e partner. Inoltre, gli aggressori sono anche in grado di leggere e manipolare le chat private.
Gli attacchi si presentano sotto forma di e-mail dannose che contengono l'immagine di un documento Fattura. Questa immagine contiene un collegamento ipertestuale dannoso che è invisibile ad occhio nudo ma è attivo quando viene cliccato.
Microsoft Team ha visto migliaia di attacchi ogni tanto. L'autore dell'attacco rilascia file dannosi eseguibili in diverse conversazioni di Teams. Questi file sono trojan e possono essere molto dannosi per i sistemi informatici.
Una volta che il file è installato sul tuo computer, il computer può essere dirottato per fare cose che non avevi intenzione di fare.
Non sappiamo quale sia l'obiettivo finale degli attaccanti. Possiamo solo sospettare che vogliano ottenere maggiori informazioni sulla loro destinazione o l'accesso completo ai computer nella rete di destinazione.
Questa conoscenza potrebbe aver dato loro la capacità di portare a termine una sorta di frode finanziaria o spionaggio informatico.
Nessun rilevamento di collegamento
Ciò che rende Microsoft Teams vulnerabile è che la sua infrastruttura non è costruita pensando alla sicurezza. In quanto tale, non dispone di un sistema di rilevamento dei collegamenti dannosi e dispone solo di un motore di rilevamento dei virus comune.
Poiché gli utenti tendono a fidarsi di ciò che c'è sulla piattaforma fornita dalle loro aziende, possono essere vulnerabili alla condivisione di malware e all'infezione.
Un sorprendente livello di fiducia fa sentire gli utenti al sicuro nell'utilizzo di una nuova piattaforma. Gli utenti possono essere molto più generosi con i loro dati di quanto non lo sarebbero normalmente.
Gli aggressori non solo possono ingannare le persone inserendo file o collegamenti infetti nei canali di chat, ma possono anche inviare messaggi privati agli utenti e ingannarli con abilità di ingegneria sociale.
La maggior parte degli utenti non si preoccuperà di salvare i file sui propri dischi rigidi e di eseguire prodotti antivirus o di rilevamento delle minacce su di essi prima di aprire i file.
Il numero di attacchi informatici su base giornaliera continuerà ad aumentare man mano che sempre più organizzazioni saranno coinvolte in questo tipo di attività.
Piano di protezione
Per cominciare, gli utenti dovrebbero prendere precauzioni per proteggere i propri indirizzi e-mail, nomi utente e password.
Per aiutare ad affrontare la minaccia alla struttura del team, si suggerisce di;
- Abilita la verifica in due passaggi sugli account Microsoft che usi per Teams.
- Se i file vengono rilasciati nelle cartelle Teams, aggiungi più sicurezza a quei file. Invia i loro hash a VirusTotal per assicurarti che non siano codici dannosi.
- Aggiungi ulteriore sicurezza per i collegamenti condivisi su Teams e assicurati di utilizzare servizi affidabili di controllo dei collegamenti.
- Assicurati che i dipendenti siano consapevoli dei rischi connessi all'utilizzo delle piattaforme di comunicazione e condivisione.
La tua organizzazione utilizza i team Microsoft? Qualcuno ha subito attacchi informatici sulla piattaforma? Condividi le tue opinioni nella sezione commenti.
