Μια επίθεση κοινωνικής μηχανικής της Microsoft Teams συνέβη πρόσφατα στην πλατφόρμα
4 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Μια επίθεση κοινωνικής μηχανικής της Microsoft Teams διεξήχθη από τον Ρώσο ηθοποιό απειλών, Midnight Blizzard, στην πλατφόρμα πρόσφατα. Ο ηθοποιός απειλής που χρησιμοποιήθηκε στο παρελθόν παραβίασε τους ενοικιαστές του Microsoft 365 για τη δημιουργία νέων τομέων που εμφανίζονται ως οντότητες τεχνικής υποστήριξης. Κάτω από αυτές τις μεταμφιέσεις, το Midnight Blizzard χρησιμοποιεί στη συνέχεια μηνύματα του Teams για να προσπαθήσει να κλέψει διαπιστευτήρια από οργανισμούς δεσμεύοντας έναν χρήστη και προκαλώντας έγκριση των μηνυμάτων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Όλοι οι οργανισμοί που χρησιμοποιούν το Microsoft Teams ενθαρρύνονται να ενισχύουν τις πρακτικές ασφαλείας και να αντιμετωπίζουν τυχόν αιτήματα ελέγχου ταυτότητας που δεν έχουν ξεκινήσει από τον χρήστη ως κακόβουλα.
Σύμφωνα με την τελευταία τους έρευνα, περίπου λιγότεροι από 40 παγκόσμιοι οργανισμοί επηρεάστηκαν από την επίθεση κοινωνικής μηχανικής του Microsoft Teams. Όπως και με προηγούμενες επιθέσεις από αυτούς τους παράγοντες απειλών, οι οργανισμοί ήταν κυρίως τομείς της κυβέρνησης, των μη κυβερνητικών οργανισμών (ΜΚΟ), των υπηρεσιών πληροφορικής, της τεχνολογίας, της διακριτής κατασκευής και των μέσων ενημέρωσης. Αυτό είναι λογικό, δεδομένου ότι η Midnight Blizzard είναι ένας ηθοποιός που απειλεί τη Ρωσία, ο οποίος προηγουμένως αποδόθηκε από τις κυβερνήσεις των ΗΠΑ και του Ηνωμένου Βασιλείου ως Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσικής Ομοσπονδίας.
Οι επιθέσεις έγιναν τον Μάιο του 2023. Αν θυμάστε, ένας άλλος παράγοντας απειλής, ο Storm-0558, προκάλεσε σοβαρή ζημιά στους διακομιστές της Microsoft εκείνη την εποχή επίσης.
Το Midnight Blizzard, ωστόσο, χρησιμοποιεί πραγματικά διαπιστευτήρια του Microsoft Teams από παραβιασμένους λογαριασμούς για να προσπαθήσει να πείσει τους χρήστες να εισαγάγουν τον κωδικό στο μήνυμα προτροπής στη συσκευή τους. Το κάνουν μεταμφιεσμένοι σε ομάδα τεχνικής υποστήριξης ή ασφάλειας.
Σύμφωνα με τη Microsoft, το Midnight Blizzard το κάνει σε 3 βήματα:
- Ο χρήστης-στόχος μπορεί να λάβει ένα αίτημα μηνύματος του Microsoft Teams από έναν εξωτερικό χρήστη που παρουσιάζεται ως ομάδα τεχνικής υποστήριξης ή ασφάλειας.
- Εάν ο χρήστης-στόχος αποδεχτεί το αίτημα μηνύματος, ο χρήστης λαμβάνει ένα μήνυμα Microsoft Teams από τον εισβολέα που προσπαθεί να τον πείσει να εισαγάγει έναν κωδικό στην εφαρμογή Microsoft Authenticator στην κινητή συσκευή του.
- Εάν ο στοχευμένος χρήστης αποδεχτεί το αίτημα μηνύματος και εισαγάγει τον κώδικα στην εφαρμογή Microsoft Authenticator, ο παράγοντας απειλής λαμβάνει ένα διακριτικό για έλεγχο ταυτότητας ως στοχευόμενος χρήστης. Ο ηθοποιός αποκτά πρόσβαση στον λογαριασμό Microsoft 365 του χρήστη, έχοντας ολοκληρώσει τη ροή ελέγχου ταυτότητας.
Η Microsoft κυκλοφόρησε μια λίστα με τα ονόματα email που πρέπει να προσέχετε:
Δείκτες συμβιβασμού
Δείκτης | Χαρακτηριστικά | Περιγραφή |
msftprotection.onmicrosoft[.]com | Ονομα τομέα | Κακόβουλος υποτομέας που ελέγχεται από τους ηθοποιούς |
IDVerification.onmicrosoft[.]com | Ονομα τομέα | Κακόβουλος υποτομέας που ελέγχεται από τους ηθοποιούς |
accountsVerification.onmicrosoft[.]com | Ονομα τομέα | Κακόβουλος υποτομέας που ελέγχεται από τους ηθοποιούς |
azuresecuritycenter.onmicrosoft[.]com | Ονομα τομέα | Κακόβουλος υποτομέας που ελέγχεται από τους ηθοποιούς |
teamsprotection.onmicrosoft[.]com | Ονομα τομέα | Κακόβουλος υποτομέας που ελέγχεται από τους ηθοποιούς |
Ωστόσο, μπορείτε να προστατεύσετε τον εαυτό σας και τον οργανισμό σας από τις επιθέσεις κοινωνικής μηχανικής του Microsoft Teams ακολουθώντας αυτές τις συστάσεις:
- Πιλοτάρετε και ξεκινήστε την ανάπτυξη Μέθοδοι ελέγχου ταυτότητας ανθεκτικές στο phishing για τους χρήστες.
- Εφαρμογή Ισχύς ελέγχου ταυτότητας πρόσβασης υπό όρους να απαιτείται έλεγχος ταυτότητας ανθεκτικό στο phishing για υπαλλήλους και εξωτερικούς χρήστες για κρίσιμες εφαρμογές.
- Προσδιορίστε αξιόπιστους οργανισμούς Microsoft 365 για να ορίσετε ποιοι εξωτερικοί τομείς επιτρέπεται ή αποκλείονται για συνομιλία και συνάντηση.
- Διατήρηση Έλεγχος του Microsoft 365 ενεργοποιηθεί έτσι ώστε τα αρχεία ελέγχου να μπορούν να διερευνηθούν εάν απαιτείται.
- Κατανοήστε και επιλέξτε το βέλτιστες ρυθμίσεις πρόσβασης για εξωτερική συνεργασία για τον οργανισμό σας.
- Επιτρέπονται μόνο γνωστές συσκευές που τηρούν Οι συνιστώμενες βασικές γραμμές ασφαλείας της Microsoft.
- Εκπαιδεύστε τους χρήστες Σχετικά με εμάς κοινωνική μηχανική και επιθέσεις phishing διαπιστευτηρίων, συμπεριλαμβανομένης της αποχής από την εισαγωγή κωδικών MFA που αποστέλλονται μέσω οποιασδήποτε μορφής αυτόκλητου μηνύματος.
- Εκπαιδεύστε τους χρήστες του Microsoft Teams να επαληθεύουν την προσθήκη ετικετών "Εξωτερική" σε προσπάθειες επικοινωνίας από εξωτερικές οντότητες, να είναι προσεκτικοί σχετικά με το τι μοιράζονται και να μην κοινοποιούν ποτέ τις πληροφορίες του λογαριασμού τους ή να εξουσιοδοτούν αιτήματα σύνδεσης μέσω συνομιλίας.
- Εκπαιδεύστε τους χρήστες να έλεγχος δραστηριότητας σύνδεσης και επισημάνετε ύποπτες προσπάθειες σύνδεσης ως "Δεν ήμουν εγώ".
- Εφαρμογή Έλεγχος εφαρμογής υπό όρους πρόσβασης στο Microsoft Defender για εφαρμογές Cloud για χρήστες που συνδέονται από μη διαχειριζόμενες συσκευές.
Τι πιστεύετε για αυτές τις επιθέσεις κοινωνικής μηχανικής του Microsoft Teams; Ενημερώστε μας στην παρακάτω ενότητα σχολίων.