- Kurumsal kullanıcıları hedef alan Microsoft Teams'e yönelik siber saldırılarla ilgili bir duyuru yapıldı.
- Saldırgan, Teams platformuna erişmek için hedeflenen varlığın çalışanlarından birinin geçerli kimlik bilgilerine ihtiyaç duyar.
- Bu nedenle kullanıcılar, e-posta kimlik bilgilerinin güvenli ve güvenli tutulduğundan emin olmalıdır.
Geçmişte, kötü amaçlı e-postalar, bilgisayar korsanlarının kurumsal ağlara kötü amaçlı yazılım bulaştırmasının yaygın bir yoluydu. Bugün, giderek daha fazla şirket, iç iletişim için Microsoft Teams gibi işbirliği araçlarını kullanıyor.
Ayrıca bu araçlar, COVID-19 salgını sırasında şirketler tarafından uzaktan çalışma için giderek daha fazla kullanılmaktadır.
Saldırganlar artık bu aracın (ve diğerlerinin) potansiyelini fark ettiler ve onu kötü amaçlı yazılımları yaymak için kullanıyorlar. Çalışanlar nadiren bu kanallar aracılığıyla hedef alınmayı beklediklerinden, normalden daha az temkinli olma eğilimindedirler ve bu da onları kolay hedefler haline getirir.
Bu blog yazısı, saldırganların bu güvenlik açıklarından nasıl yararlandığını ve kullanıcıların kendilerini ve kuruluşlarını bu tür saldırılara karşı korumak için neler yapabileceklerini açıklar.
nasıl saldırırlar
Dahil edilen bir işbirliği platformu olan Microsoft Teams Microsoft 365 ürün ailesi, kullanıcıların sesli ve görüntülü konferans yapmalarına, birden fazla kanalda sohbet etmelerine ve dosya paylaşmalarına olanak tanır.
Dünyanın dört bir yanındaki birçok şirket, bu salgın sırasında uzaktan çalışan işbirliği için temel araç olarak Microsoft Teams kullanımını benimsedi.
Kanal sohbetinde, bir kullanıcının sistemine kötü amaçlı yazılım enjekte etmek için kullanılabilecek bilinen hiçbir güvenlik açığı yoktur. Ancak, kötü niyetli amaçlar için kullanılabilecek mevcut bir yöntem var.
Microsoft Teams, dosya boyutu 100 MB'ı geçmediği sürece dosya paylaşımına izin verir. Saldırgan herhangi bir dosyayı Microsoft Teams'deki herhangi bir genel kanala yükleyebilir ve kanala erişimi olan herkes dosyayı indirebilir.
bir siber güvenlik bakış açısından, kulağa bir altın madeni gibi geliyor: Herhangi bir Ekip kanalından, hassas bilgiler veya fikri mülkiyet dahil olmak üzere tüm konuşmalara ve bilgilere erişebilirsiniz.
Teams, çok hassas bilgiler veya fikri mülkiyet içerebilecek farklı kanallardaki tüm konuşmalara erişmenize izin verdiğinden. Ayrıca, kullanıcıları arasında paylaşılan hassas dosyaları da içerebilir.
Yine de finansal olarak motive olmuş siber suçlular, yakalayabilecekleri için Teams'ten de yararlanabilirler. Teams içindeki, kredi kartı bilgilerini almak gibi daha fazla dolandırıcılık yapmalarına izin verebilecek ilginç veriler Örneğin.
Saldırganların, kötü niyetli bağlantılar içeren hedefli hedefli phishing e-postalarıyla başladığı söyleniyor. Bunları kullanan kuruluşların üyeleri tarafından tıklanırsa.
Saldırgan bir şirketin kurumsal kaynak planlama sistemine erişmeye çalışırken, erişim için gereken tek şey çalışanlardan birinin geçerli kimlik bilgileridir. Bu tür kimlik bilgilerini elde etmenin yaygın bir yolu, hedef kuruluştaki kullanıcılar üzerinde bir kimlik avı kampanyası yürütmektir.
Saldırgan, kurbanın e-posta hesabına erişim kazandıktan sonra, Microsoft Teams aracılığıyla oturum açabilir ve ardından kullanıcıların diğer kaynaklardan belgeleri içe aktarmasına olanak tanıyan özelliği kullanabilir.
Saldırgan daha sonra kötü amaçlı JavaScript içeren bir HTML belgesi yükleyebilir ve onu, erişimi olan diğer çalışanlar tarafından açıldığında çalışacak başka bir belgeye bağlayabilir.
Ayrıca, bir ilk erişim aracısından geçerli kimlik bilgileri satın alınarak veya sosyal mühendislik yoluyla kullanıcılara karşı saldırılar gerçekleştirilebilir.
Teams aracılığıyla etkilenen kullanıcılar
Saldırgan, çalışanlar, müşteriler ve ortaklar arasındaki tüm gizli iletişim kanallarına doğrudan erişebilir. Ayrıca, saldırganlar özel sohbetleri de okuyabilir ve manipüle edebilir.
Saldırılar, bir Fatura belgesinin görüntüsünü içeren kötü amaçlı e-postalar biçiminde gelir. Bu görüntü, çıplak gözle görülemeyen ancak tıklandığında etkin olan, kötü amaçlarla oluşturulmuş bir köprü içerir.
Microsoft Ekipleri Ara sıra binlerce saldırı gördü. Saldırgan, yürütülebilir kötü amaçlı dosyaları farklı Teams konuşmalarına bırakır. Bu dosyalar truva atlarıdır ve bilgisayar sistemleri için çok zararlı olabilir.
Dosya bilgisayarınıza yüklendikten sonra, bilgisayar, yapmak istemediğiniz şeyleri yapmak için ele geçirilebilir.
Saldırganların nihai hedefinin ne olduğunu bilmiyoruz. Yalnızca hedefleri hakkında daha fazla bilgi almak veya hedeflenen ağdaki bilgisayarlara tam erişim sağlamak istediklerinden şüphelenebiliriz.
Bu bilgi onlara bir tür mali dolandırıcılık veya siber casusluk yapma yeteneği vermiş olabilir.
Bağlantı algılama yok
Ne yapar Microsoft Teams güvenlik açığı altyapısının güvenlik düşünülerek oluşturulmamış olmasıdır. Bu itibarla, kötü niyetli bir bağlantı tespit sistemine sahip değildir ve sadece ortak bir virüs tespit motoruna sahiptir.
Kullanıcılar, şirketlerinin sağladığı platformda ne olduğuna güvenme eğiliminde olduğundan, kötü amaçlı yazılım paylaşmaya ve virüs bulaşmaya karşı savunmasız kalabilirler.
Şaşırtıcı bir güven düzeyi, kullanıcıların yeni bir platform kullanma konusunda kendilerini güvende hissetmelerini sağlar. Kullanıcılar, verileri konusunda normalde olduğundan çok daha cömert olabilirler.
Saldırganlar yalnızca sohbet kanallarına virüs bulaşan dosyalar veya bağlantılar koyarak insanları kandırmakla kalmaz, aynı zamanda kullanıcılara özel mesajlar göndererek onları sosyal mühendislik becerileriyle kandırabilirler.
Çoğu kullanıcı, dosyaları açmadan önce dosyaları sabit disklerine kaydetmeyi ve üzerlerinde antivirüs veya tehdit algılama ürünlerini çalıştırmayı umursamayacaktır.
Daha fazla kuruluş bu tür faaliyetlerde yer aldıkça, günlük olarak siber saldırıların sayısı artmaya devam edecek.
Koruma planı
Yeni başlayanlar için, kullanıcılar e-posta adreslerini, kullanıcı adlarını ve şifrelerini korumak için önlemler almalıdır.
Ekip yapısı tehdidinin ele alınmasına yardımcı olmak için şunları yapmanız önerilir;
- Teams için kullandığınız Microsoft hesaplarında iki adımlı doğrulamayı etkinleştirin.
- Dosyalar Teams klasörlerine bırakılırsa, bu dosyalara daha fazla güvenlik ekleyin. Kötü amaçlı kodlar olmadıklarından emin olmak için karmalarını VirusTotal'a gönderin.
- Teams'de paylaşılan bağlantılar için ekstra güvenlik ekleyin ve saygın bağlantı denetleme hizmetlerini kullandığınızdan emin olun.
- Çalışanların iletişim ve paylaşım platformlarını kullanmanın içerdiği risklerin farkında olduğundan emin olun.
Kuruluşunuz Microsoft ekipleri kullanıyor mu? Platformda siber saldırılar yaşayan oldu mu? Görüşlerinizi yorumlar bölümünde paylaşın.