Хакеры используют Microsoft Teams для распространения фишинговых, вишинговых и кишинговых кампаний, используя социальную инженерию, чтобы обманом заставить жертв поделиться важными личными данными. Как один из самых популярных инструментов совместной работы во всем мире, он имеет миллионы потенциальных жертв, но есть несколько удобных способов обнаружить мошенничество с Microsoft Teams.

Мошенничество с аутентификацией MFA

Предполагается, что это та же группа, которая стоит за атакой SolarWinds , эта афера обходит многофакторную аутентификацию, используя тактику социальной инженерии. Злоумышленники используют ранее скомпрометированные арендаторы Microsoft 365 для создания нового поддомена безопасности » onmicrosoft  » и добавления нового пользователя. Злоумышленники также меняют имя арендатора на «Microsoft Identity Protection» или что-то похожее.

Затем они отправляют цели запрос на чат. Если пользователь принимает его, ему отправляется сообщение MS Teams с кодом, где его убеждают ввести этот номер в приложение Microsoft Authenticator на своем устройстве. Как только цель вводит код в приложение аутентификации, хакер получает доступ к учетной записи Microsoft 365 цели. Затем злоумышленник крадет информацию из арендатора MS 365 или добавляет управляемое устройство в организацию.

Атака вируса-вымогателя Black Basta

Печально известная группа вымогателей Black Blasta также атакует входы в Microsoft Teams, используя кампанию социальной инженерии для бомбардировки адресов электронной почты спамом. Хакеры связываются с пользователем MS Teams, выдавая себя за службу ИТ-поддержки или корпоративную службу поддержки, предлагая исправить текущую проблему со спамом, которая обычно включает в себя невредоносные электронные письма, такие как подтверждения регистрации, информационные бюллетени или проверки электронной почты, призванные переполнить почтовый ящик пользователя.

Затем хакер звонит перегруженному сотруднику и пытается заставить его установить инструмент удаленного доступа к рабочему столу, с помощью которого он может захватить компьютер пользователя. Получив контроль, он может установить целый ряд вредоносных программ, включая троян удаленного доступа (RAT), Cobalt Strike, вредоносное ПО DarkGate и другие опасные полезные нагрузки. В конечном итоге Black Blasta получает полный контроль над компьютером и может извлечь из сети как можно больше данных.

Мошенничество с поддельными вакансиями Microsoft Teams

Мошенничество с поддельными вакансиями существует уже некоторое время, наживаясь на людях, ищущих работу, и мошенники используют чат Microsoft Teams, чтобы эксплуатировать жертв. Злоумышленники отправляют вам письмо с информацией о поддельной вакансии и предлагают использовать Microsoft Teams для проведения собеседования. Итак, вот первый красный флаг: все собеседование будет проводиться в чате.

Затем вам предложат фальшивую работу и попросят предоставить вашу информацию в базу данных компании. Некоторые жертвы получают Google Doc с запросом на их PII и социальный/налоговый номер. В некоторых случаях жертв просят купить предметы, которые якобы используются для выполнения работы, заплатить комиссию за найм или купить подарочные карты, что является одним из наиболее распространенных признаков того, что предложение о работе не является законным.

Подделка данных Microsoft Teams HR с использованием вредоносных ZIP-файлов

Злоумышленники не только подделывают команды ИТ-поддержки, но и выдают себя за сотрудников отдела кадров. Впервые замеченная в 2023 году, атака начинается с сообщения от кого-то, выдающего себя за сотрудников отдела кадров, использующего ранее скомпрометированную учетную запись Microsoft 365. В некоторых случаях злоумышленник даже выдавал себя за генерального директора компании.

Цель получает фишинговое сообщение, в котором объясняется, что в график отпусков сотрудника будут внесены изменения, и что некоторые сотрудники, включая жертву, будут затронуты. Фишинговое сообщение содержит ссылку на загрузку предполагаемого нового графика, которая на самом деле является ссылкой на вредоносную программу DarkGate. Если вредоносный файл будет запущен на целевой машине, он установит вредоносную программу, предоставив злоумышленнику полный доступ к устройству и его данным.

Вредоносный PDF-файл отправлен через Microsoft Teams

Атакующие также используют скомпрометированные учетные записи Microsoft 365 для отправки вредоносных исполняемых файлов, разработанных как файлы PDF. Эта атака начинается с приглашения в чат Microsoft Teams, которое, если его принять, фактически загружает, по-видимому, безвредный файл PDF. Однако на самом деле это вредоносный исполняемый файл, который использует двойное расширение, чтобы обмануть вас. Таким образом, там, где расширение выглядит как PDF, на самом деле это EXE.

Файл обычно имеет название, требующее немедленных действий, например «Navigating Future Changes.pdf.msi», и после открытия фактически загружает вредоносное ПО.

Как защитить себя

Всегда будьте осторожны с внешними сообщениями и приглашениями, которые вы получаете в Microsoft Teams. Даже если кажется, что это от кого-то, лучше перепроверить, особенно если это касается файла, ссылки или приглашения в чат, которые вы не ожидали получить. Никогда не передавайте управление своим устройством третьей стороне, если вы не убедились, что это от законного представителя вашей ИТ-команды. Будьте осторожны с призывами к действию в электронных письмах и сообщениях, так как они часто предназначены для того, чтобы заставить вас сначала действовать, а потом думать.

Другие способы защитить себя от фишинговых мошенничеств включают использование сайтов проверки ссылок, чтобы определить, безопасна ли ссылка, или сайтов проверки возраста домена, которые позволяют вам увидеть точный возраст домена. Вредоносные фишинговые сайты, как правило, существуют всего несколько дней, недель или месяцев и часто имитируют адреса, чтобы попытаться застать вас врасплох.