Остерегайтесь мошенничества с Microsoft Teams!

Microsoft Teams, один из самых популярных инструментов для совместной работы во всем мире, является миллионами потенциальных жертв мошенничества, но есть несколько полезных способов обнаружить это мошенничество.

Хакеры используют Microsoft Teams для запуска фишинговых, вишинговых и кишинговых кампаний, используя социальную инженерию, чтобы обманом заставить жертв поделиться конфиденциальными личными данными. Microsoft Teams, один из самых популярных инструментов для совместной работы в мире, является миллионами потенциальных жертв мошенничества, но есть несколько полезных способов их обнаружить.

Мошенничество с аутентификацией MFA

Предполагается, что эта афера принадлежит той же группе, что стояла за атакой SolarWinds. Эта афера обходит многофакторную аутентификацию с использованием тактики социальной инженерии. Злоумышленники используют ранее скомпрометированные клиенты Microsoft 365, чтобы создать новый поддомен onmicrosoft.com, посвященный безопасности, и добавить нового пользователя. Злоумышленники также переименовывают арендатора в «Microsoft Identity Protection» или что-то подобное.

Остерегайтесь мошенничества с Microsoft Teams! Изображение 1

Затем они отправляют цели запрос на чат. Если пользователь соглашается, он отправляет ему сообщение MS Teams с кодом, который затем предлагается ввести в приложении Microsoft Authenticator на своем устройстве. Как только цель вводит код в приложение для проверки подлинности, хакер получает доступ к учетной записи Microsoft 365 цели. Затем злоумышленник может украсть информацию у клиента MS 365 или добавить в организацию управляемое устройство.

Атака программы-вымогателя Black Basta

Печально известная группа вымогателей Black Blasta также атаковала учетные записи Microsoft Teams, используя кампанию социальной инженерии для бомбардировки адресов электронной почты спамом. Хакеры связались с пользователями MS Teams, выдавая себя за ИТ-поддержку или службу поддержки компании, предлагая решить постоянную проблему со спамом, которая часто включала в себя невредоносные электронные письма, такие как подтверждения подписки, информационные бюллетени или проверки электронной почты, чтобы наводнить почтовые ящики пользователей.

Затем хакеры звонят перегруженному работой сотруднику и пытаются заставить его установить инструмент удаленного доступа к рабочему столу, с помощью которого они смогут получить контроль над компьютером пользователя. Получив контроль, они могут устанавливать различные вредоносные программы, в том числе трояны удаленного доступа (RAT), Cobalt Strike, вредоносное ПО DarkGate и другое опасное программное обеспечение. В конечном итоге Black Blasta получает полный контроль над машиной и может украсть из сети как можно больше данных.

Мошенничество с поддельной вакансией в Microsoft Teams

Мошенничества с поддельными вакансиями существуют уже некоторое время и нацелены на соискателей, а мошенники используют чат Microsoft Teams для эксплуатации своих жертв. Злоумышленник отправляет вам электронное письмо о поддельной работе и предлагает использовать Microsoft Teams для проведения собеседования. Вот первый тревожный сигнал: все интервью будет проводиться в чате.

Затем вам предложат поддельную работу и попросят внести вашу информацию в базу данных компании. Некоторые жертвы получают форму Google Doc с просьбой указать свои идентификационные данные и номера социального страхования/налогового страхования. В некоторых случаях жертв просят купить предметы для выполнения работы, заплатить гонорар за прием на работу или приобрести подарочные карты — это одни из наиболее распространенных признаков того, что предложение о работе сомнительно.

Поддельный Microsoft Teams HR с использованием вредоносного ZIP-файла

Остерегайтесь мошенничества с Microsoft Teams! Изображение 2

Злоумышленники выдавали себя не только за сотрудников ИТ-поддержки, но и за сотрудников отдела кадров. Атака, впервые обнаруженная в 2023 году, началась с сообщений от человека, выдававшего себя за сотрудника отдела кадров, который использовал ранее скомпрометированную учетную запись Microsoft 365. В некоторых случаях злоумышленник даже выдавал себя за руководителя компании.

Объект получает фишинговое сообщение, в котором объясняется, что в график отпусков сотрудников войдут изменения и это коснется нескольких человек, включая жертву. Фишинговое сообщение содержит ссылку для скачивания нового расписания, которая на самом деле является ссылкой на вредоносное ПО DarkGate. Если вредоносный файл запускается на целевом компьютере, он устанавливает вредоносное ПО, предоставляя злоумышленнику полный доступ к устройству и его данным.

Вредоносный PDF-файл, отправленный через Microsoft Teams

Злоумышленники также использовали скомпрометированные учетные записи Microsoft 365 для отправки вредоносных исполняемых файлов, замаскированных под файлы PDF. Эта атака начинается с приглашения в чат Microsoft Teams, которое в случае принятия фактически загружает, казалось бы, безобидный PDF-файл. Однако на самом деле это вредоносный исполняемый файл, который использует двойное расширение, чтобы обмануть вас. Таким образом, расширение выглядит как PDF, но на самом деле это EXE.

Обычно файлу присваивается имя, требующее немедленных действий, например «Навигация по будущим изменениям.pdf.msi», при открытии которого фактически загружается вредоносное ПО.

Как защитить себя

Всегда следует проявлять осторожность с внешними сообщениями и приглашениями, которые вы получаете в Microsoft Teams. Даже если кажется, что они исходят от кого-то другого, лучше перепроверить, особенно если они связаны с файлами, ссылками или приглашениями в чат, которые вы не ожидали получить. Никогда не передавайте контроль над своим устройством третьим лицам, если вы не убедились, что оно принадлежит законному представителю вашей ИТ-команды. Будьте осторожны с призывами к действию в электронных письмах и сообщениях, поскольку они часто созданы для того, чтобы побудить вас к действию, прежде чем вы все обдумаете.

Другие способы защитить себя от фишинга включают использование сайтов проверки ссылок, чтобы определить, безопасна ли ссылка, или сайтов проверки возраста домена, которые позволяют вам увидеть точный возраст домена. Вредоносные фишинговые сайты часто существуют всего несколько дней, недель или месяцев и часто имитируют адреса, пытаясь обмануть вас.

Марвин Фрай

Обновление от 13 января 2025 г.

Остерегайтесь мошенничества с Microsoft Teams!

Мошенничество с аутентификацией MFA

Атака программы-вымогателя Black Basta

Мошенничество с поддельной вакансией в Microsoft Teams

Поддельный Microsoft Teams HR с использованием вредоносного ZIP-файла

Вредоносный PDF-файл, отправленный через Microsoft Teams

Как защитить себя

Инструменты искусственного интеллекта для Google Таблиц

Инструкция по установке и регистрации аккаунта Steam на вашем компьютере

Как открывать ссылки в Word, в Outlook не нужна клавиша Ctrl

6 способов исправить компьютер, не распознающий проводную мышь, USB

PowerToys скоро будет поддерживать создание пространств приложений и запуск всего одним щелчком мыши.

Как отключить автоматическое обновление Messenger на Android

Мошенничество с аутентификацией MFA

Атака программы-вымогателя Black Basta

Мошенничество с поддельной вакансией в Microsoft Teams

Поддельный Microsoft Teams HR с использованием вредоносного ZIP-файла

Вредоносный PDF-файл, отправленный через Microsoft Teams

Как защитить себя

Похожие записи