Хакеры используют Microsoft Teams для распространения фишинга, вишинга и квашинга, применяя методы социальной инженерии, чтобы заставить жертв раскрыть важные личные данные. Будучи одним из самых популярных инструментов для совместной работы, здесь миллионы потенциальных жертв, но есть несколько полезных способов распознать мошенничество в Microsoft Teams.
Мошенничество с MFA аутентификацией
Считается, что за этой схемой стоит та же группа, что и за атакой на SolarWinds. Этот обман обходит многократную аутентификацию с помощью методов социальной инженерии. Злоумышленники используют ранее скомпрометированные аккаунты Microsoft 365 для создания нового субдомена формата "onmicrosoft.com" с тематикой безопасности и добавляют нового пользователя. Кроме того, они меняют имя арендатора на "Защита идентичности Microsoft" или что-то подобное.
Затем они отправляют целевой жертве запрос на чат. Если пользователь принимает этот запрос, он получает сообщение в MS Teams с кодом и убеждается в необходимости ввести этот номер в приложении Microsoft Authenticator на своем устройстве. После ввода кода в приложении аутентификации хакер получает доступ к аккаунту Microsoft 365 жертвы. Затем злоумышленник может украсть информацию из аккаунта MS 365 или добавить управляемое устройство в организацию.
Атака-вымогательство Black Basta
Знаменитая группа вымогателей Black Basta также нацеливается на входы в Microsoft Teams, используя кампанию социальной инженерии, чтобы засыпать электронные адреса спамом. Хакеры связываются с пользователем MS Teams, выдавая себя за поддержку IT или корпоративный сервис, предлагая решить проблему спама, которая, как правило, состоит из безопасных писем, таких как подтверждения регистрации, новостные рассылки или проверки электронных адресов, заполняющих почтовый ящик жертвы.
Затем злоумышленник звонит рассерженному сотруднику и пытается убедить его установить программу для удаленного доступа, что позволяет взломать устройство. Получив контроль, они устанавливают множество вредоносных программ, включая троян для удаленного доступа (RAT), Cobalt Strike, DarkGate и другие опасные агенты. В итоге Black Basta получает полный контроль над устройством и может украсть как можно больше данных из сети.
Мошенничество с фальшивыми вакансиями в Microsoft Teams
Мошенничества с поддельными вакансиями существуют уже давно, нацеливаясь на людей, ищущих работу, и жулики используют чат Microsoft Teams, чтобы обмануть жертв. Злоумышленники отправляют вам электронное письмо о поддельной вакансии и предлагают провести собеседование через Microsoft Teams. Вот первый тревожный сигнал: все собеседование будет проходить в формате чата.
Затем вам предложат поддельную вакансию и попросят отправить свои данные в базу данных компании. Некоторые жертвы получают документ Google с просьбой указать свою личную информацию и номер социального или налогового учета. В отдельных случаях жертв просят приобрести товары, которые якобы необходимы для работы, оплатить сбор за прием на работу или купить подарочные карты, что является одним из самых распространенных знаков недобросовестного предложения.
Подмена HR в Microsoft Teams с использованием вредоносных ZIP файлов
Злоумышленники не только выдают себя за команды IT поддержки, но и подмена персонажей HR. Впервые такая атака была зафиксирована в 2023 году, и она начинается с сообщения от кого-то, выдающего себя за сотрудников HR с использованием ранее скомпрометированного аккаунта Microsoft 365. В некоторых случаях злоумышленник даже притворялся генеральным директором компании.
Цель получает фишинговое сообщение, в котором говорится о изменениях в графике отпусков сотрудников, и что некоторые работники, включая жертву, подлежат этим изменениям. Фишинговое сообщение содержит ссылку для скачивания предполагаемого нового расписания, которая на самом деле ведет на загрузку вредоносного DarkGate. Если вредоносный файл будет запущен на целевой машине, он установит вредоносное ПО, предоставив злоумышленнику полный доступ к устройству и данным.
Вредоносный PDF файл, отправленный через Microsoft Teams
Злоумышленники также используют скомпрометированные аккаунты Microsoft 365, чтобы отправлять вредоносные исполняемые файлы под видом PDF. Эта атака начинается с приглашения в чат Microsoft Teams, которое, если будет принято, скачивает на самом деле безобидный на вид PDF файл. Однако это на самом деле исполняемый файл, который использует двойное расширение для обмана жертвы. Таким образом, расширение, которое выглядит как PDF, на самом деле является EXE.
Файл обычно называется чем-то, что требует немедленных действий, например "Навигация по будущим изменениям.pdf.msi", и, когда он открыт, фактически загружает вредоносное ПО.
Как защитить себя
Всегда будьте осторожны с внешними сообщениями и приглашениями, которые вы получаете в Microsoft Teams. Даже если кажется, что это от кого-то знакомого, лучше перепроверить, особенно если это связано с файлом, ссылкой или незапланированным приглашением в чат. Никогда не передавайте контроль над вашим устройством третьим лицам, если вы не убедились, что это действительно законный представитель вашей IT команды. Будьте осторожны с настойчивыми призывами к действию в электронных письмах и сообщениях, так как они часто направлены на то, чтобы заставить вас действовать, прежде чем подумать.
Другие способы защитить себя от фишинговых схем включают использование сайтов для проверки ссылок, чтобы определить, безопасна ли ссылка, или сайтов для проверки возраста домена, которые позволяют вам увидеть реальный возраст домена. Вредоносные фишинговые сайты обычно существуют всего несколько дней, недель или месяцев и часто имитируют адреса, чтобы поймать вас врасплох.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Любите активный отдых на природе? Подписывайтесь на канал Поход лайфхак в Яндекс Дзен — кладезь полезных советов для любителей активного отдыха!
Вы также можете читать наши материалы в:
- Telegram: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru