- มีการประกาศเกี่ยวกับการโจมตีทางไซเบอร์ใน Microsoft Teams ที่กำหนดเป้าหมายไปยังผู้ใช้ระดับองค์กร
- ในการเข้าถึงแพลตฟอร์ม Teams ผู้โจมตีต้องการข้อมูลประจำตัวที่ถูกต้องจากพนักงานคนใดคนหนึ่งของเอนทิตีเป้าหมาย
- ผู้ใช้จึงต้องตรวจสอบให้แน่ใจว่าข้อมูลรับรองอีเมลของพวกเขาถูกเก็บไว้อย่างปลอดภัย
ในอดีต อีเมลที่เป็นอันตรายเป็นวิธีที่พบได้ทั่วไปสำหรับแฮกเกอร์ในการแพร่ระบาดในเครือข่ายองค์กรด้วยมัลแวร์ ทุกวันนี้ บริษัทจำนวนมากขึ้นเรื่อยๆ ใช้เครื่องมือการทำงานร่วมกัน เช่น Microsoft Teams สำหรับการสื่อสารภายใน
นอกจากนี้ บริษัทต่างๆ ได้ใช้งานเครื่องมือเหล่านี้มากขึ้นสำหรับการทำงานทางไกลในช่วงที่โควิด-19 แพร่ระบาด
ตอนนี้ผู้โจมตีได้ตระหนักถึงศักยภาพของเครื่องมือนี้ (และอื่น ๆ ) และกำลังใช้มันเพื่อแพร่กระจายมัลแวร์ เนื่องจากพนักงานไม่ค่อยคาดหวังว่าจะได้รับการกำหนดเป้าหมายผ่านช่องทางเหล่านี้ พวกเขาจึงมักจะระมัดระวังน้อยกว่าปกติ ซึ่งทำให้เป็นเป้าหมายได้ง่าย
โพสต์บล็อกนี้อธิบายวิธีที่ผู้โจมตีใช้ประโยชน์จากช่องโหว่เหล่านี้ และสิ่งที่ผู้ใช้สามารถทำได้เพื่อปกป้องตนเองและองค์กรจากการโจมตีดังกล่าว
วิธีที่พวกเขาโจมตี
Microsoft Teams ซึ่งเป็นแพลตฟอร์มการทำงานร่วมกันที่รวมอยู่ใน
Microsoft 365 กลุ่มผลิตภัณฑ์ อนุญาตให้ผู้ใช้ทำการประชุมทางเสียงและวิดีโอ สนทนาในหลายช่องทาง และแบ่งปันไฟล์บริษัทหลายแห่งทั่วโลกได้นำการใช้ Microsoft Teams มาใช้เป็นเครื่องมือหลักสำหรับการทำงานร่วมกันของพนักงานทางไกลในช่วงการระบาดใหญ่นี้
ไม่มีช่องโหว่ที่ทราบในแชนเนลแชนเนลที่สามารถเจาะจงมัลแวร์เข้าสู่ระบบของผู้ใช้ได้ อย่างไรก็ตาม มีวิธีการที่มีอยู่ซึ่งสามารถใช้เพื่อจุดประสงค์ที่เป็นอันตรายได้
Microsoft Teams อนุญาตให้แชร์ไฟล์ได้ตราบใดที่ไฟล์มีขนาดไม่เกิน 100 MB ผู้โจมตีสามารถอัปโหลดไฟล์ใดๆ ไปยังแชนเนลสาธารณะใดๆ ใน Microsoft Teams และใครก็ตามที่สามารถเข้าถึงแชนเนลนั้นจะสามารถดาวน์โหลดได้
จาก ความปลอดภัยทางไซเบอร์ มุมมอง ดูเหมือนเหมืองทอง: จากช่องทางใดทีมหนึ่ง คุณสามารถเข้าถึงการสนทนาและข้อมูลทั้งหมด รวมถึงข้อมูลที่ละเอียดอ่อนหรือทรัพย์สินทางปัญญา
เนื่องจาก Teams อนุญาตให้คุณเข้าถึงการสนทนาทั้งหมดผ่านช่องทางต่างๆ ที่อาจมีข้อมูลที่ละเอียดอ่อนหรือทรัพย์สินทางปัญญา นอกจากนี้ยังอาจมีไฟล์ละเอียดอ่อนที่แชร์ระหว่างผู้ใช้
ทว่าอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงินก็สามารถได้รับประโยชน์จาก Teams ได้เช่นกัน เนื่องจากพวกเขาอาจจับได้ ข้อมูลที่น่าสนใจภายใน Teams ซึ่งอาจทำให้พวกเขาทำการฉ้อโกงได้มากขึ้น เช่น การรับข้อมูลบัตรเครดิต ตัวอย่างเช่น.
กล่าวกันว่าผู้โจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งเป้าหมายซึ่งมีลิงก์ที่เป็นอันตราย หากมีการคลิกโดยสมาชิกขององค์กรที่ใช้
เมื่อผู้โจมตีพยายามเข้าถึงระบบการวางแผนทรัพยากรองค์กรของบริษัท สิ่งเดียวที่จำเป็นสำหรับการเข้าถึงคือข้อมูลประจำตัวที่ถูกต้องสำหรับพนักงานคนหนึ่ง วิธีทั่วไปในการรับข้อมูลประจำตัวดังกล่าวคือการเรียกใช้แคมเปญฟิชชิ่งกับผู้ใช้ที่อยู่ในองค์กรเป้าหมาย
เมื่อผู้โจมตีเข้าถึงบัญชีอีเมลของเหยื่อได้แล้ว พวกเขาก็สามารถเข้าสู่ระบบผ่าน Microsoft Teams แล้วใช้ฟีเจอร์ที่อนุญาตให้ผู้ใช้นำเข้าเอกสารจากแหล่งอื่นได้
ผู้โจมตีสามารถอัปโหลดเอกสาร HTML ที่มี JavaScript ที่เป็นอันตรายและเชื่อมโยงไปยังเอกสารอื่นที่จะทำงานเมื่อเปิดโดยพนักงานคนอื่น ๆ ที่เข้าถึงได้
การโจมตียังสามารถดำเนินการกับผู้ใช้โดยการซื้อข้อมูลประจำตัวที่ถูกต้องจากนายหน้าการเข้าถึงเริ่มต้นหรือผ่านวิศวกรรมสังคม
ผู้ใช้ที่ติดเชื้อผ่าน Teams
ผู้โจมตีสามารถเข้าถึงช่องทางการสื่อสารที่เป็นความลับทั้งหมดระหว่างพนักงาน ลูกค้า และคู่ค้าได้โดยตรง นอกจากนี้ ผู้โจมตียังสามารถอ่านและจัดการแชทส่วนตัวได้
การโจมตีมาในรูปแบบของอีเมลที่เป็นอันตรายซึ่งมีรูปภาพของเอกสารใบแจ้งหนี้ รูปภาพนี้มีไฮเปอร์ลิงก์ที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งไม่สามารถมองเห็นได้ด้วยตาเปล่าแต่จะทำงานเมื่อคลิก
Microsoft Teams ได้เห็นการโจมตีนับพันครั้งแล้ว ผู้โจมตีจะลบไฟล์ที่เป็นอันตรายที่ปฏิบัติการได้ลงในการสนทนาของทีมต่างๆ ไฟล์เหล่านี้เป็นโทรจันและอาจเป็นอันตรายต่อระบบคอมพิวเตอร์ได้
เมื่อไฟล์ได้รับการติดตั้งในคอมพิวเตอร์ของคุณแล้ว คอมพิวเตอร์จะถูกจี้เพื่อทำสิ่งที่คุณไม่ได้ตั้งใจจะทำ
เราไม่รู้ว่าเป้าหมายสูงสุดของผู้โจมตีคืออะไร เราสามารถสงสัยได้เพียงว่าพวกเขาต้องการรับข้อมูลเพิ่มเติมเกี่ยวกับเป้าหมายหรือการเข้าถึงคอมพิวเตอร์ในเครือข่ายเป้าหมายอย่างเต็มรูปแบบ
ความรู้นี้อาจทำให้พวกเขาสามารถดึงการฉ้อโกงทางการเงินหรือการจารกรรมทางอินเทอร์เน็ตได้
ไม่มีการตรวจจับลิงก์
สิ่งที่ทำให้ Microsoft Teams มีช่องโหว่ คือโครงสร้างพื้นฐานไม่ได้สร้างขึ้นโดยคำนึงถึงความปลอดภัย ดังนั้นจึงไม่มีระบบตรวจจับลิงก์ที่เป็นอันตรายและมีเพียงกลไกตรวจจับไวรัสทั่วไปเท่านั้น
เนื่องจากผู้ใช้มักจะไว้วางใจสิ่งที่อยู่บนแพลตฟอร์มที่บริษัทจัดหาให้ พวกเขาจึงมีความเสี่ยงที่จะแชร์มัลแวร์และติดเชื้อได้
ระดับความไว้วางใจที่น่าประหลาดใจทำให้ผู้ใช้รู้สึกปลอดภัยในการใช้แพลตฟอร์มใหม่ ผู้ใช้สามารถใจกว้างกับข้อมูลได้มากกว่าปกติ
ผู้โจมตีไม่เพียงแต่หลอกล่อผู้คนได้โดยการใส่ไฟล์หรือลิงก์ที่ติดไวรัสลงในช่องแชทเท่านั้น แต่พวกเขายังอาจส่งข้อความส่วนตัวถึงผู้ใช้และหลอกพวกเขาด้วยทักษะด้านวิศวกรรมสังคม
ผู้ใช้ส่วนใหญ่จะไม่สนใจเกี่ยวกับการบันทึกไฟล์ในฮาร์ดไดรฟ์และใช้งานผลิตภัณฑ์ป้องกันไวรัสหรือการตรวจจับภัยคุกคามก่อนที่จะเปิดไฟล์
จำนวนการโจมตีทางไซเบอร์ในแต่ละวันจะเพิ่มขึ้นเรื่อย ๆ เนื่องจากองค์กรจำนวนมากขึ้นมีส่วนร่วมในกิจกรรมประเภทนี้
แผนคุ้มครอง
สำหรับผู้เริ่มต้น ผู้ใช้ควรใช้ความระมัดระวังในการปกป้องที่อยู่อีเมล ชื่อผู้ใช้ และรหัสผ่าน
เพื่อช่วยจัดการกับภัยคุกคามโครงสร้างทีม ขอแนะนำให้คุณ
- เปิดใช้งานการตรวจสอบสองขั้นตอนในบัญชี Microsoft ที่คุณใช้สำหรับ Teams
- หากไฟล์ถูกทิ้งในโฟลเดอร์ Teams ให้เพิ่มความปลอดภัยให้กับไฟล์เหล่านั้น ส่งแฮชไปที่ VirusTotal เพื่อให้แน่ใจว่าไม่ใช่โค้ดที่เป็นอันตราย
- เพิ่มการรักษาความปลอดภัยเพิ่มเติมสำหรับลิงก์ที่แชร์ใน Teams และตรวจสอบให้แน่ใจว่าได้ใช้บริการตรวจสอบลิงก์ที่มีชื่อเสียง
- ตรวจสอบให้แน่ใจว่าพนักงานตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการใช้แพลตฟอร์มการสื่อสารและการแบ่งปัน
องค์กรของคุณใช้ทีม Microsoft หรือไม่ มีใครเคยประสบกับการโจมตีทางไซเบอร์บนแพลตฟอร์มหรือไม่? แบ่งปันมุมมองของคุณในส่วนความคิดเห็น
