Criminelen gelinkt aan Rusland richten zich op grote organisaties via geavanceerde phishing-aanvallen, waarbij gebruikers via Teams overtuigd worden om logingegevens te delen.
Microsoft waarschuwt voor geavanceerde en gerichte phishing-aanvallen. Criminelen van dienst maken deel uit van een groepering die Microsoft Midnight Blizzard noemt en vroeger door het leven ging als Nobelium. De aanvallers hebben sterke links met de Russische geheime dienst SVR. Met de aanvallen proberen de criminelen toegang te krijgen tot grote bedrijven of overheidsdiensten.
Aanvalstechniek
Voor de recentste aanval startten de hackers van een eerder gekraakt Microsoft 365-domein van een klein bedrijf. Met die gegevens maken ze een nieuw domein aan dat er uitziet als een domein dat te maken heeft met technische ondersteuning. Vervolgens nemen de criminelen contact op via Teams met werknemers in de doelwit-organisatie. Hun doel is om logingegevens te verkrijgen en meer specifiek een inlogpoging via MFA te laten verifiëren.
Het slachtoffer kan bijvoorbeeld een chatverzoek krijgen van een instantie die Microsoft Identity Protection heet. Ofwel zijn inloggegevens van het slachtoffer eerder al gestolen, ofwel is zijn of haar account geconfigureerd om in te loggen zonder wachtwoord. Het chatverzoek gaat vervolgens gepaard met een inlogverzoek via de Microsoft Authenticator-app. De aanvallers proberen om zo om hun doelwit te overtuigen hun malafide inlogpoging goed te keuren.
Spionage
Microsoft zag al gerichte aanvalspogingen op iets minder dan 40 organisaties wereldwijd. Het doel van de aanvallen is hoogstwaarschijnlijk spionage. Wanneer iemand in de val trapt, stelen de hackers informatie en proberen ze soms een eigen toestel toe te voegen aan de organisatie.
Er zijn verschillende manieren om je te wapenen tegen dergelijke aanvallen. Bewustmaking is de voornaamste: onder geen enkel beding mag je een aanmeldpoging goedkeuren die je niet zelf gestart hebt.
lees ook
Veertig procent van Belgen was al slachtoffer van phishing
Verder kunnen beheerders er voor zorgen dat externe organisaties niet zomaar in contact kunnen treden met werknemers. Microsoft raadt ook aan om auditing zeker in te schakelen, zodat er logs zijn om te onderzoeken als dat nodig is.
Gevaarlijk voor iedereen
De aanval toot aan dat iedereen slachtoffer kan worden. Hoewel de hackers zich in deze aanval op grote doelwitten richten, misbruiken ze daarvoor toegang die ze eerder verkregen tot kleine organisaties. Die kleine garnalen worden zo ongewild een deel van een complexe aanvalsketting.