Eye Security heeft een reeks recente phishingaanvallen vastgesteld bij klanten door criminele bendes die Microsoft Teams infiltreren.
De kwetsbaarheid, die in juni voor het eerst werd ontdekt, zorgt ervoor dat hackers de controle over een legitieme URL van Microsoft kunnen nemen. Ze doen zich voor als een medewerker van een bedrijf – meestal de CEO – en berichten naar specifieke medewerkers of naar het hele bedrijf kunnen sturen waarin de ontvanger(s) worden aangemoedigd om een .zip-bestand te openen dat malware of ransomware bevat. Denk bijvoorbeeld aan een organigram met de melding ‘200 mensen worden ontslagen’. Zoiets triggert werknemers, wat de kans vergroot om interactie te krijgen.
Piet Kerkhofs, medeoprichter en CTO van Eye Security: “Gezien de toename van het aantal criminele groepen dat dit als hun primaire phishingmethode gebruikt en de honderden miljoenen mensen die Teams in bedrijven gebruiken, kunnen we verwachten dat ransomware en datalekken de komende maanden dramatisch zullen toenemen. Dit is een groot probleem voor alle Europese bedrijven”.
Ondanks de dreiging benadrukt Kerkhofs dat bedrijven stappen kunnen ondernemen om het risico te beheersen. “Zonder in te gaan op de technische details, kunnen bedrijven aanvallen beperken en voorkomen door kwaadaardige domeinen te blokkeren en te rapporteren, Microsoft-tools zoals Purview gebruiken, het Teams-beleid aanpassen en vooral hun werknemers blijven trainen om meer bewust te worden van dit soort aanvallen.”
Bestanden van buiten de organisatie
Eerder dit jaar publiceerden we al hoe hackers via phishing Microsoft Teams bestoken. Het begint allemaal met het mogelijk maken van het delen van bestanden van buiten de organisatie, iets wat doorgaans niet mogelijk is. Hackers kunnen die beperking omzeilen door in een POST-verzoek aan Teams het ID van het externe en interne account te wisselen. Dit heet in vaktermen een insecure direct object reference.
Hierdoor kunnen ze wel bestanden delen als ware ze een intern account. Vanaf hier verloopt de aanvalsmethode zoals een klassieke phishingaanval. De hacker doet zich voor als een betrouwbaar iemand en verzint een goede reden waarom het slachtoffer het bestand zou moeten binnentrekken. Het kwaadaardige bestand neemt de vorm aan van een SharePoint-bestand.
We zagen de focus van hackers eerst richting OneNote verschuiven, maar nu Microsoft ook daar heeft ingegrepen, zoeken aanvallers naar nieuwe wegen.