Wielkie połowy na Microsoft Teams

Oszuści coraz częściej próbują wykorzystać dużą popularność Microsoft Teams. Pod koniec ubiegłego tygodnia użytkownicy tej platformy otrzymali podejrzane e-maile.

Przestępcy wysyłali do potencjalnych ofiar e-maile ze sklonowanymi zdjęciami pochodzącymi z automatycznych powiadomień Microsoft Teams. Celem ataku było uzyskanie haseł i loginów do usługi Office 365. Zainteresowanie tą platformą nie jest przypadkowe. W ostatnim czasie Microsoft Teams bije rekordy popularności. Microsoft poinformował, że 30 marca z tego narzędzia korzystało 75 milionów osób – o 70 proc. więcej niż 19 marca, kiedy korzystało 44 miliony użytkowników.

Grupa Abnormal Security, która wykryła atak, szacuje, że fałszywe e-maile trafiły od 15.000 do 50.000 skrzynek. Kampania phishingowa wymierzona przeciwko użytkownikom Microsoft Teams jest bardziej niebezpieczna od standardowych akcji. Osoby korzystające z systemów do komunikacji i współpracy są zalewani informacjami pochodzącymi od przyjaciół, członków rodziny czy współpracowników. W rezultacie bardzo często ignorują różnego rodzaju komunikaty. Tym co dodatkowo wyróżnia ten atak, jest klonowanie alertów Microsoft Teams. Do tej pory w przypadku podobnych incydentów oszuści posługiwali się własnoręcznie tworzonymi grafikami i treściami, które zazwyczaj zawierały literówki i błędy gramatyczne.

– Wykorzystanie w kampanii phishingowej rzeczywistych zdjęć wykorzystywanych przez Microsoft sprawia, że odbiorcy stają się mniej podejrzliwi wobec otrzymywanych komunikatów. Ten mechanizm szczególnie sprawdza się w urządzeniach mobilnych, w których obraz zajmuje większą część ekranu. – zauważa Mariusz Politowicz, z firmy Marken dystrybutora rozwiązań Bitdefender w Polsce.

Niektóre e-maile służące do wyłudzania danych zachęcały potencjalne ofiary do wysłuchania wiadomości offline, inne informowały o znajomych, którzy rzekomo szukali kontaktu poprzez Microsoft Teams. Badacze z Abnormal Security zauważyli też, że wysyłane przez napastników informacje omijały bramy e-mail, przez co nie lądowały w folderze ze spamem. Ponadto przestępcy, aby oszukać system ochrony, używali kilku przekierowań adresów URL. Co istotne, stworzone przez hakerów strony docelowe również używały sklonowanych obrazów pochodzących z Microsoft Teams.

Ofiara, które połknęła haczyk, wypełniała spreparowany formularz, a dane uwierzytelniające trafiały w ręce napastników. Należy dodać, że platforma Microsoft Teams stanowi integralną część Office 365, dzięki czemu napastnik, który zdobył hasła i loginy, automatycznie zyskiwał akces do innych informacji udostępnianych przy wykorzystaniu poświadczeń Microsoftu.

– Z pewnością to nie ostatnia taka akcja phishingowa. Kolejne mogą być skierowane zarówno przeciwko użytkownikom Microsoft Teams, jak i konkurencyjnych platform. Narzędzia do komunikacji i współpracy cieszą się w czasie pandemii ogromną popularnością, a hakerzy nie zmarnują nadarzających się okazji do kradzieży danych. Osoby biorące udział w spotkaniach online powinny pamiętać o tym, aby nie otwierać linków przesyłanych przez nieznajomych. Należy zweryfikować autentyczność nadawcy. Nie można też udostępniać poświadczeń Microsoft Office online. – doradza Mariusz Politowicz.

Warto przypomnieć, że pod koniec marca badacze CyberArk poinformowali Microsoft o istnieniu luki na platformie Microsoft Teams. Hakerzy za pomocą spreparowanego GIF-a mogli wykraść dane użytkownika aplikacji, a następnie przejąć kontrolę nad całym zespołem. Microsoft wprowadził aktualizację zabezpieczającą eliminującą tą lukę w systemie.