Wzrasta skala ataków wymierzonych w popularne platformy wspierające komunikację i pracę zdalną. Jednym z ostatnich przykładów skoordynowanych i przeprowadzonych na dużą skalę działań tego typu jest niedawny atak ukierunkowany na użytkowników platformy Microsoft Teams. Przestępcy wysyłali do potencjalnych ofiar e-maile ze sklonowanymi zdjęciami pochodzącymi z automatycznych powiadomień tej platformy. Celem oszustwa było uzyskanie haseł i loginów do usługi Office 365.
Zainteresowanie tą właśnie platformą nie jest przypadkowe. W ostatnim czasie Microsoft Teams bije rekordy popularności. Jak poinformował Microsoft, 30 marca z narzędzia tego korzystało aż 75 milionów osób – o 70% więcej niż 19 marca, kiedy to odnotowano “zaledwie” 44 miliony użytkowników.
Szczególnie niebezpieczna kampania phishingowa
Atak przestępców wykryła grupa Abnormal Security, która jednocześnie oszacowała, że fałszywe e-maile trafiły do 15-50 tysięcy skrzynek. Kampania phishingowa wymierzona przeciwko użytkownikom Teams była bardziej niebezpieczna od standardowych akcji, zauważają eksperci cyberbezpieczeństwa. Użytkownicy korzystający z systemów do komunikacji i współpracy są bowiem zalewani informacjami pochodzącymi od przyjaciół, członków rodziny czy współpracowników. W rezultacie bardzo często ignorują różnego rodzaju komunikaty. Atak ten wyróżniał też fakt klonowania alertów Microsoft Teams. Do tej pory, przy podobnych incydentach, oszuści posługiwali się własnoręcznie tworzonymi grafikami oraz treściami, które zazwyczaj zawierały literówki czy błędy gramatyczne i były łatwiejsze to wychwycenia.
„Wykorzystanie w kampanii phishingowej rzeczywistych zdjęć wykorzystywanych przez Microsoft sprawia, że odbiorcy stają się mniej podejrzliwi wobec otrzymywanych komunikatów. Ten mechanizm szczególnie sprawdza się w urządzeniach mobilnych, w których obraz zajmuje większą część ekranu” – zauważa Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Nieustające zagrożenia
Część z fałszywych e-maili zachęcała potencjalne ofiary do wysłuchania wiadomości offline a inne informowały o znajomych, którzy rzekomo szukali kontaktu poprzez Microsoft Teams. Badacze z Abnormal Security zauważyli też, że wysyłane przez napastników informacje omijały bramy e-mail, przez co nie lądowały w folderze ze spamem. Aby oszukać system ochrony, przestępcy używali ponadto kilku przekierowań adresów URL. Co istotne, stworzone przez hakerów strony docelowe również używały sklonowanych obrazów pochodzących z Microsoft Teams.
Osoby, które dały się złapać na to oszustwo, wypełniały spreparowany formularz, a ich dane uwierzytelniające trafiały do cyberprzestępców. Dodajmy, że platforma Microsoft Teams stanowi integralną część Office 365, co oznacza, że napastnicy, który zdobyli hasła oraz loginy, automatycznie zyskiwali również akces do innych informacji udostępnianych przy wykorzystaniu poświadczeń Microsoftu.
„Z pewnością nie jest to ostatnia taka akcja phishingowa. Kolejne mogą być skierowane zarówno przeciwko użytkownikom Microsoft Teams, jak i konkurencyjnym platformom. Narzędzia do komunikacji i współpracy cieszą się w czasie pandemii ogromną popularnością, a hakerzy nie zmarnują nadarzających się okazji do kradzieży danych. Osoby biorące udział w spotkaniach online powinny pamiętać o tym, aby nie otwierać linków przesyłanych przez nieznajomych. Należy zweryfikować autentyczność nadawcy. Nie można też udostępniać poświadczeń Microsoft Office online” – doradza Mariusz Politowicz.
Przypomnijmy również, że pod koniec marca badacze CyberArk poinformowali Microsoft o istnieniu luki na platformie komunikacyjnej producenta. Dzięki niej hakerzy, za pomocą spreparowanego GIF-a, mogli wykraść dane użytkownika aplikacji, a następnie przejąć kontrolę nad całym zespołem. Microsoft wprowadził aktualizację zabezpieczającą eliminującą tą lukę w systemie.
