- Buvo paskelbtas pranešimas apie „Microsoft Teams“ kibernetines atakas, nukreiptas prieš įmonių vartotojus.
- Kad galėtų pasiekti Teams platformą, užpuolikas reikalauja galiojančių vieno iš tikslinės įmonės darbuotojų kredencialų.
- Todėl vartotojai turi užtikrinti, kad jų el. pašto kredencialai būtų saugūs.
Anksčiau kenkėjiški el. laiškai buvo įprastas būdas įsilaužėliams užkrėsti įmonių tinklus kenkėjiškomis programomis. Šiandien vis daugiau įmonių vidinei komunikacijai naudoja bendradarbiavimo priemones, tokias kaip „Microsoft Teams“.
Be to, COVID-19 pandemijos metu šias priemones įmonės vis dažniau naudoja nuotoliniam darbui.
Dabar užpuolikai suprato šio įrankio (ir kitų) potencialą ir naudoja jį kenkėjiškoms programoms platinti. Kadangi darbuotojai retai tikisi, kad bus nukreipti šiais kanalais, jie yra ne tokie atsargūs nei įprastai, todėl juos lengva pasiekti.
Šiame tinklaraščio įraše aprašoma, kaip užpuolikai išnaudoja šias spragas ir ką vartotojai gali padaryti, kad apsaugotų save ir savo organizacijas nuo tokių atakų.
Kaip jie puola
„Microsoft Teams“, bendradarbiavimo platforma, įtraukta į Microsoft 365 produktų šeima, leidžia vartotojams rengti garso ir vaizdo konferencijas, kalbėtis keliais kanalais ir dalytis failais.
Daugelis kompanijų visame pasaulyje priėmė „Microsoft Teams“ kaip pagrindinį nuotolinio darbuotojų bendradarbiavimo įrankį šios pandemijos metu.
Kanalo pokalbyje nėra žinomų spragų, kurias būtų galima panaudoti į vartotojo sistemą įterpti kenkėjiškų programų. Tačiau yra metodas, kuris gali būti naudojamas kenkėjiškiems tikslams.
„Microsoft Teams“ leidžia dalytis failais, jei failo dydis neviršija 100 MB. Užpuolikas gali įkelti bet kurį failą į bet kurį viešąjį „Microsoft Teams“ kanalą ir visi, turintys prieigą prie kanalo, galės jį atsisiųsti.
Iš Kibernetinė sauga perspektyvos, tai skamba kaip aukso kasykla: iš bet kurio komandos kanalo galite pasiekti visus pokalbius ir informaciją, įskaitant neskelbtiną informaciją ar intelektinę nuosavybę.
Kadangi Teams leidžia pasiekti visus pokalbius įvairiais kanalais, kuriuose gali būti labai neskelbtinos informacijos arba intelektinės nuosavybės. Jame taip pat gali būti slaptų failų, kuriais dalijasi vartotojai.
Tačiau finansiškai motyvuoti kibernetiniai nusikaltėliai taip pat gali gauti naudos iš Teams, nes jie gali pagauti įdomių Teams duomenų, kurie gali leisti jiems daugiau sukčiauti, pvz., gauti kredito kortelės informaciją pavyzdžiui.
Teigiama, kad užpuolikai pradeda nuo tikslinių sukčiavimo el. laiškų, kuriuose yra kenkėjiškų nuorodų. Jei jas spusteli organizacijų nariai, naudojantys.
Kai užpuolikas bando pasiekti įmonės įmonės išteklių planavimo sistemą, vienintelis dalykas, reikalingas prieigai, yra galiojantys vieno iš darbuotojų kredencialai. Įprastas būdas gauti tokius kredencialus yra vykdyti sukčiavimo kampaniją naudotojams, kurie yra tikslinėje organizacijoje.
Užpuolikas, gavęs prieigą prie aukos el. pašto paskyros, gali prisijungti per „Microsoft Teams“ ir naudoti funkciją, leidžiančią vartotojams importuoti dokumentus iš kitų šaltinių.
Tada užpuolikas gali įkelti HTML dokumentą, kuriame yra kenkėjiškos „JavaScript“, ir susieti jį su kitu dokumentu, kuris bus paleistas, kai jį atidarys kiti darbuotojai, turintys prieigą prie jo.
Atakos prieš vartotojus taip pat gali būti vykdomos perkant galiojančius kredencialus iš pradinio prieigos tarpininko arba naudojant socialinę inžineriją.
Vartotojai, užkrėsti per Teams
Užpuolikas gali tiesiogiai pasiekti visus konfidencialius komunikacijos tarp darbuotojų, klientų ir partnerių kanalus. Be to, užpuolikai taip pat gali skaityti ir manipuliuoti privačiais pokalbiais.
Atakos vyksta kaip kenkėjiški el. laiškai, kuriuose yra sąskaitos faktūros dokumento vaizdas. Šiame paveikslėlyje yra piktybiškai sukurtas hipersaitas, kuris nematomas plika akimi, bet yra aktyvus spustelėjus.
Microsoft komandos retkarčiais matė tūkstančius išpuolių. Užpuolikas numeta vykdomus kenkėjiškus failus į skirtingus Teams pokalbius. Šie failai yra Trojos arklys ir gali būti labai kenksmingi kompiuterių sistemoms.
Kai failas bus įdiegtas jūsų kompiuteryje, kompiuteris gali būti užgrobtas, kad būtų galima atlikti veiksmus, kurių neketinote daryti.
Mes nežinome, koks yra galutinis puolėjų tikslas. Galime tik įtarti, kad jie nori gauti daugiau informacijos apie savo tikslą arba visišką prieigą prie kompiuterių tiksliniame tinkle.
Šios žinios galėjo suteikti jiems galimybę apsisaugoti nuo finansinio sukčiavimo ar kibernetinio šnipinėjimo.
Nėra nuorodų aptikimo
Kas daro „Microsoft Teams“ yra pažeidžiamas yra tai, kad jos infrastruktūra nėra sukurta atsižvelgiant į saugumą. Taigi jame nėra kenkėjiškų nuorodų aptikimo sistemos ir yra tik bendras virusų aptikimo variklis.
Kadangi vartotojai linkę pasitikėti tuo, kas yra jų įmonių siūlomoje platformoje, jie gali būti pažeidžiami dalindamiesi kenkėjiškomis programomis ir užsikrėsti.
Stebinantis pasitikėjimo lygis leidžia vartotojams jaustis saugiai, kai naudojasi nauja platforma. Vartotojai gali būti daug dosnesni su savo duomenimis nei įprastai.
Užpuolikai gali ne tik apgauti žmones, įdėdami užkrečiamus failus ar nuorodas į pokalbių kanalus, bet taip pat gali siųsti asmeninius pranešimus vartotojams ir apgauti juos pasitelkdami socialinės inžinerijos įgūdžius.
Daugumai vartotojų nerūpės išsaugoti failus kietajame diske ir paleisti juose antivirusinius ar grėsmių aptikimo produktus prieš atidarydami failus.
Kasdienių kibernetinių atakų skaičius ir toliau didės, nes į tokio pobūdžio veiklą įsitrauks vis daugiau organizacijų.
Apsaugos planas
Pirmiausia vartotojai turėtų imtis atsargumo priemonių, kad apsaugotų savo el. pašto adresus, vartotojo vardus ir slaptažodžius.
Siekiant padėti išspręsti Komandos struktūros grėsmę, siūloma;
- Įgalinkite patvirtinimą dviem veiksmais „Microsoft“ paskyrose, kurias naudojate „Teams“.
- Jei failai nukrito į Teams aplankus, padidinkite tų failų apsaugą. Nusiųskite jų maišą „VirusTotal“, kad įsitikintumėte, jog tai nėra kenkėjiški kodai.
- Pridėkite papildomos „Teams“ bendrinamų nuorodų apsaugos ir būtinai naudokite patikimas nuorodų tikrinimo paslaugas.
- Įsitikinkite, kad darbuotojai žino apie riziką, susijusią su komunikacijos ir dalijimosi platformomis.
Ar jūsų organizacija naudoja „Microsoft“ komandas? Ar kas nors patyrė kibernetinių atakų platformoje? Pasidalykite savo nuomone komentarų skiltyje.
