Un atac de inginerie socială Microsoft Teams a avut loc recent pe platformă
4 min. citit
Publicat în data de
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Un atac de inginerie socială Microsoft Teams a fost efectuat recent de actorul rus de amenințări, Midnight Blizzard, pe platformă. Actorul de amenințare folosit anterior chiriașii Microsoft 365 compromis pentru a crea noi domenii care apar ca entități de suport tehnic. Sub aceste deghizări, Midnight Blizzard folosește apoi mesajele Teams pentru a încerca să fure acreditările de la organizații, implicând un utilizator și obținând aprobarea solicitărilor de autentificare multifactor (MFA).
Toate organizațiile care folosesc Microsoft Teams sunt încurajate să consolideze practicile de securitate și să trateze orice cereri de autentificare care nu sunt inițiate de utilizator ca fiind rău intenționate.
Potrivit ultimei lor anchete, aproximativ mai puțin de 40 de organizații globale au fost afectate de atacul de inginerie socială Microsoft Teams. Ca și în cazul atacurilor anterioare din partea acestor actori amenințări, organizațiile erau în principal guverne, organizații neguvernamentale (ONG-uri), servicii IT, tehnologie, producție discretă și sectoare media. Acest lucru are sens, având în vedere că Midnight Blizzard este un actor cu amenințare rusă, atribuit anterior de guvernele SUA și Marea Britanie drept Serviciul de Informații Externe al Federației Ruse.
Atacurile au avut loc în mai 2023. Dacă vă amintiți, un alt actor de amenințare, Storm-0558, a provocat unele daune serioase serverelor Microsoft și în acea perioadă.
Midnight Blizzard, totuși, folosește acreditările Microsoft Teams reale din conturi compromise pentru a încerca să convingă utilizatorii să introducă codul în promptul de pe dispozitivul lor. Ei fac acest lucru prefăcându-se ca o echipă de asistență tehnică sau de securitate.
Potrivit Microsoft, Midnight Blizzard face acest lucru în 3 pași:
- Utilizatorul țintă poate primi o solicitare de mesaj Microsoft Teams de la un utilizator extern care se prezintă ca o echipă de asistență tehnică sau de securitate.
- Dacă utilizatorul țintă acceptă solicitarea mesajului, utilizatorul primește apoi un mesaj Microsoft Teams de la atacator care încearcă să-l convingă să introducă un cod în aplicația Microsoft Authenticator de pe dispozitivul său mobil.
- Dacă utilizatorul vizat acceptă solicitarea mesajului și introduce codul în aplicația Microsoft Authenticator, actorului amenințării i se acordă un token pentru a se autentifica ca utilizator vizat. Actorul obține acces la contul Microsoft 365 al utilizatorului, după ce a finalizat fluxul de autentificare.
Microsoft a lansat o listă cu numele de e-mail la care ar trebui să fii atent:
Indicatori de compromis
Indicator | Tip | Descriere |
msftprotection.onmicrosoft[.]com | Numele domeniului | Subdomeniu rău intenționat controlat de actor |
identityVerification.onmicrosoft[.]com | Numele domeniului | Subdomeniu rău intenționat controlat de actor |
accountsVerification.onmicrosoft[.]com | Numele domeniului | Subdomeniu rău intenționat controlat de actor |
azuresecuritycenter.onmicrosoft[.]com | Numele domeniului | Subdomeniu rău intenționat controlat de actor |
teamsprotection.onmicrosoft[.]com | Numele domeniului | Subdomeniu rău intenționat controlat de actor |
Cu toate acestea, vă puteți proteja pe dumneavoastră și organizația dvs. de atacurile de inginerie socială Microsoft Teams, urmând aceste recomandări:
- Pilotează și începe desfășurarea metode de autentificare rezistente la phishing pentru utilizatori.
- aplica Puterea de autentificare cu acces condiționat pentru a solicita autentificare rezistentă la phishing pentru angajați și utilizatori externi pentru aplicațiile critice.
- Specificați organizațiile Microsoft 365 de încredere pentru a defini ce domenii externe sunt permise sau blocate pentru chat și întâlnire.
- A pastra Audit Microsoft 365 activat astfel încât înregistrările de audit să poată fi investigate dacă este necesar.
- Înțelegeți și selectați cele mai bune setări de acces pentru colaborarea externă pentru organizația dvs.
- Permiteți numai dispozitivele cunoscute care adera Liniile de bază de securitate recomandate de Microsoft.
- Educați utilizatorii despre Inginerie sociala și atacuri de tip phishing de acreditări, inclusiv abținerea de la introducerea codurilor MFA trimise prin orice formă de mesaj nesolicitat.
- Educați utilizatorii Microsoft Teams să verifice etichetarea „externă” la încercările de comunicare de la entități externe, să fie precauți cu privire la ceea ce împărtășesc și să nu distribuie niciodată informațiile contului sau să nu autorizeze solicitările de conectare prin chat.
- Educați utilizatorii să examinați activitatea de conectare și marcați încercările de conectare suspecte ca „Acesta nu am fost eu”.
- aplica Controlul aplicației cu acces condiționat în Microsoft Defender pentru aplicații cloud pentru utilizatorii care se conectează de pe dispozitive neadministrate.
Ce părere aveți despre aceste atacuri de inginerie socială Microsoft Teams? Anunțați-ne în secțiunea de comentarii de mai jos.