A Microsoft Teams rendszert általában biztonságosabbnak tartják a belső kommunikációhoz, mint a közönséges e-mailt, és ennek van is némi alapja (beépített titkosítás, MFA, stb.), de az is biztos, hogy a felhasználói bizalom miatt ez a platform is ki van téve az adathalászatnak. A friss esetünknél egy kifinomult trükkös módszert láthatunk, amely célzottan a vállalatokat támadja.
A jól előkészített akció úgy kezdődik, hogy elárasztják a kiszemelt céget hatalmas mennyiségű kéretlen e-maillel, hogy ezzel helyi szinten káoszt keltsenek és frusztrációt okozzanak, és eközben előkészítsék maguknak a terepet.
Feltételezhetően egyes szervezeteknél (például kiszervezett IT esetén) ez növelheti a siker esélyét, mindenesetre a támadók a Microsoft Teams ügyfélszolgálat (helpdesk) munkatársának nevében jelentkeznek, és felajánlják a segítségüket a probléma megoldásához.
A hamis ügyfélszolgálatos ehhez "természetesen" egy linket küld, amely egy hamis helyi javítás telepítésére veszi rá az áldozatot arra hivatkozva, hogy az megakadályozza a spam áradatot (egy állítólagos Mailbox Repair Utility). Ennek futtatása után megjelenik egy állapot-ellenőrző gomb, amelyre kattintva egy oldalra jutunk, ahol e-mail címmel és jelszóval kell hitelesíteni magunkat.
Ez már egyértelmű adathalászat, de a módszer rafinált, mert az első két próbálkozásnál szándékosan hibás jelszót jelez vissza a rendszer. Ennek két oka van, egyrészt hitelesebbnek tűnik az áldozatnak az alapos ellenőrzés, de egyúttal azt is biztosítja a támadók részére, hogy biztosan, elgépelésmentesen többször is megkapják az így ellopott jelszót.
Miközben a felhasználó azt hiszi, hogy éppen a fiókja javítása zajlik, a háttérben már egy "Snow" nevű kártevőcsomag települ a gépére, amely hátsóajtót nyit, és lehetővé teszi a támadók számára az állandó távoli hozzáférést, képernyőmentések készítését és az adatok észrevétlen ellopását.
A módszer részben azért sikeres, mert a Teams közvetlen üzenetküldő funkcióját használják ki a hitelesség látszatának megteremtéséhez, és sokan tévesen azt hiszik, ebben a látszólagos zárt közegben csak a közvetlen kollégáik vagy hivatalos partnerek érik el őket. Az elkövetők az UNC6692 nevet kapták a felderítéskor, ami nem ad érdemi információt a csoportról, hiszen ez az Uncategorized, azaz be nem sorolt + egy sorszám alapján keletkezett.
A social engineering, vagyis pszichológiai megtévesztés faktor erőteljesen jelen van, hiszen előbb mesterségesen generálnak egy frusztráló látványos problémát a vállalatoknál, majd hivatalosnak tűnő "megmentőként" megérkeznek a csatatérre, ami erőteljesen javítja a manipuláció hatékonyságát, és sokaknál vélhetően elaltatja az egészséges gyanakvást.
Emlékezetes, hogy a korábbi, sablonos hamis support csalásoknál gyakran ott véreztek el, hogy a megkeresésnél a felhasználók egyáltalán nem tapasztaltak semmiféle problémát, és a csalók rábeszéléssel igyekeztek meggyőzni őket ennek az ellenkezőjéről.
A fent említett rosszindulatú adathalász link, és később a telepítendő kártevő persze fennakadhat a jól beállított védelmi megoldásokon, de az optimális persze az lenne, ha már a kezdeti fázis legelején a biztonságtudatos, egészséges gyanakvás, óvatosság dominálna a felhasználóknál.
Ha valaki kéretlenül és ismeretlenül keres meg bennünket akár a belső chaten és valamilyen szoftver telepítésére kér, mindig ellenőrizzük le az illetőt egy másik, alternatív hivatalos csatornán is, ellenkező esetben egy igen kellemetlen, a teljes vállalati infrastruktúrát érintő adatlopással vagy kiszivárogtatással kell szembenéznünk. Az incidens részletes leírása ezen a linken található.
