Kombinovani napad preko email bombardovanja i lažnih IT poziva na Teams-u
Novi koordinovani napad koristi email bombardovanje i lažne IT kontakte na Teams-u za pristup računarima sa stopom uspeha od 72 procenta.
Šta se desilo?
Napadači koriste sofisticirani dvofazni napad na zaposlenike kroz Microsoft Teams. Prvo žrtvu bombarduju stotinama ili hiljadama neželjenih e-mailova da bi je doveli u stanje panike, a zatim se predstavljaju kao IT podrška kroz Teams poruke. Zarad zadržavanja privida legitimnosti, koriste imena kao "IT Protection Department" ili "Windows Security Help Desk" sa pažljivo osmišljenim profilima koji liče na interne kontakte.
Koga pogađa?
Cilj su zaposleni u korporacijama i organizacijama koje redovno koriste Microsoft Teams. Posebno su ranjivi oni koji nisu dovoljno edukovani o socijalnom inženjerstvu ili oni koji koriste Teams bez skeptičnosti prema porukama koje izgledaju kao interni kontakti. Prema podacima, attack ima stopu uspeha od 72 procenta, što ga čini veoma efikasnim vektorom napada.
Kako se zaštititi?
- Nikada ne dozvolite daljinski pristup svojoj mašini korisnicima koji vas kontaktiraju preko Teams-a, čak i ako izgledaju kao IT podrška - verifikujte identitet kroz alternativni kanal
- Budite skeptični prema Teams porukama koje vam nude pomoć zbog "problema" na vašem nalogu - IT podrška obično vam ne dostiže tako
- Ne prihvatajte pozive za deljenje ekrana ili instalaciju alata kao Quick Assist i AnyDesk bez apsolutne sigurnosti u legitimnost zahteva
- Izveštajte IT odeljenju o sumnjivim kontaktima i email bombardovanju pre nego što primenite bilo koju "pomoć"
- Aktivirajte dvofaktorsku autentifikaciju na svom nalogs da otežate pristup u slučaju kompromitovanja
- Edukujte se o znacima socijalnog inženjerstva - urgentnost, pandemizacija i privremeni pritisak su česte taktike
Tehnički detalji
Istražujuća grupa eSentire identifikovala je više potvrđenih slučajeva ove vrste napada. Infrastruktura pozadine je locirana kod pružalaca otpornih na brisanje, uključujući NKtelecom INC, WorkTitans B.V., Global Connectivity Solutions LLP i GWY IT PTY LTD. Grupe kao što su Scattered Spider, Payouts King i UNC6692 povezane su sa varijacijama ove tehnike. Napadi se značajno intenzivili između 2024. i 2025. godine.
Preporuka Sajber Radara
Ključ odbrane je razvijanje kulture skepticizma i provere - čak i kada je poziv internadno lokalizovan preko Teams-a. Organizacije trebalo bi da uvedu jasne procedure za verifikaciju zahteva IT podrške i da redovno obučavaju zaposlene o socijalnom inženjerstvu kao vektoru napada koji se kontinualno razvija.