A Microsoft Teams hamis biztonságérzetet kelt a céges felhasználók körében, ám tudatában kell lennünk, hogy ez is egy sérülékeny platform.
Az Anavan biztonsági vállalat kutatói fedezték fel és írtak először a népszerű vállalati kollaborációs eszközt, a Microsoft Teams-et érintő támadásokról. A Teams egy népszerű vállalati kollaborációs platform, naponta 270 millióan használják világszerte.
A kiberbűnözők szempontjából egy ehhez hasonló platform igazi aranybánya. A Teams segítségével vállalati adatokhoz, információkhoz, szellemi tulajdonhoz juthatnak hozzá. A platform segítségével a támadók megismerhetik például a vállalatok működési módját, és így további csalásokat készíthetnek elő. Például megfelelő ismeret megszerzése után harmadik félként csatlakozhatnak be egy levelezésbe, majd ráveszik a gyanútlan felhasználókat, hogy másik számlára utalják a szerződés összegét. (A business e-mail compromise támadásról itt írtunk bővebben.)
Trójait kapnak ajándékba
A vállalati Teams platformra bejutni nem túl bonyolult, csak az egyik alkalmazott azonosító adatait kell megszerezni. Az Avanan kutatói szerint például erre jó az adathalász e-mail. Elképzelhető, hogy pszichológiai manipuláció segítségével telefonon vagy a való világban szerzik meg a jelszavakat. Vagy ami még egyszerűbb, a támadók megvásárolják a hozzáférést más bűnözőktől.
A kutatók szerint miután a támadók bejutnak céges Teams-be, akkor futtatható fájlok küldésével betonozza be jelenlétüket, erre havonta többezer példát láttak. Például a „UserCentric.exe”-t osztották meg több beszélgetésben – a programot futtatók általában egy trójait kapnak ajándékba. A trójai a Windows registry-be ír adatokat, DLL fájlokat telepít, és olyan shortcut linkeket gyárt, mely engedélyezi a programnak, hogy átvegye a számítógép feletti ellenőrzést.
A bátrabb támadók privát chatszobákban rávehetik a felhasználókat arra, hogy hálózati hozzáférést biztosító adatokat osszanak meg. A biztonsági szakemberek nem említették, hogy mi a végső célja a támadásnak, de nagy valószínűséggel a vállalati hálózatba szeretnének mélyebben bejutni.
Ezért veszélyesek a Teams támadások
Problémát jelent, hogy a Microsoft Teams-nek nincs felismerő rendszere a kártevőt tartalmazó hivatkozásokra, csak egy átlagos vírusfelismerő motort futtat. Mivel a felhasználók a vállalat által biztosított platformhoz csatlakoznak, általában mindenben bíznak, amit ott megosztanak, hamis biztonságérzetük és magas fokú bizalmuk alakul ki. A bizalmi légkör miatt ezért általában sokkal több szenzitív adatot osztanak meg, mint általában.
Hogyan védekezzünk a Teams támadások ellen?
Első körben, tegyünk meg mindent, hogy védjük a felhasználóink azonosítóit. Az IT csapatok a következő intézkedésekkel növelhetik a Teams biztonsági szintjét:
- Engedélyezzük a kétfaktoros azonosítást a Teams-ben használt microsoftos felhasználói fiókok esetében.
- A SharePoint mappákban megosztott fájlokat ellenőrizzük egy antivírus megoldással.
- A Teams-ben megosztott hivatkozások tekintetében is legyenek további védelmi vonalak, használjunk például hivatkozásokat ellenőrző szolgáltatásokat.
- Növeljük a kollégák IT biztonságtudatát. Az adathalász támadások és más fenyegetettségek mellett a kollaborációs platformok biztonsági kihívásait is mutassuk be.