Afgelopen maanden is gebleken dat er steeds meer actief gebruik wordt gemaakt van een nieuwe manier van Phishing. Uit de eerste analyses bleek dat er malware werd verspreid afkomstig van een nogal ongebruikelijke bron: Microsoft Teams Chat.
Gezien de populariteit van Teams en de opkomst van criminele groepen die deze methode inzetten, voorzien we een scherpe stijging in ransomware en datalekken de komende maanden.
In dit artikel leggen we vereenvoudigd en in het kort uit hoe een aanval werkt, waar op te letten, waarom Microsoft Teams Chat steeds populairder wordt voor criminele groepen voor phishing en als laatste welke stappen er overwogen kunnen worden om dit soort aanvallen in de toekomst te voorkomen.
Phishing “nieuwe stijl”
Phishing via Microsoft Teams is een relatief nieuwe bedreiging. Voorheen was phishing via e-mail een traditionele manier om malware te verspreiden, maar kwaadwillende hebben een nieuwe manier gevonden om hun malware af te leveren. In sommige gevallen die we hebben gezien, wordt het bericht naar honderden werknemers gestuurd en bevat het een link naar een Sharepoint-site die een kwaadaardig zip-bestand host.
Hoe gaat men te werk?
Door een tijdelijke Microsoft Teams omgeving op te zetten en binnen deze omgeving accounts aan te maken met bekende namen van gebruikers. Denk hierbij aan de naam van de CEO, maar ook andere namen welke overeenkomen met een collega. Deze informatie wordt veelal verkregen via LinkedIn of eigen website waarop medewerkers worden weergegeven. Door deze opzet lijkt het bij het ontvangen van een Teams Chat melding alsof deze van iemand komt die je denkt te kunnen vertrouwen.
In de realiteit stuurt dus een ongewenst persoon (die zich voordoet als een collega) een bestand of bericht. Doordat de weergegeven naam vertrouwen wekt, het bericht via chat ontvangen wordt én het bericht vaak slim is opgesteld zijn we minder waakzaam. De kans is dus groot dat je de bijgevoegde link of het bestand opent met bijvoorbeeld een phishing link of malware besmetting.
Wat te doen en waar op te letten?
Een Teams bericht van een extern contact is eenvoudig te herkennen binnen een Teams chat window door het grijze blokje rechts bovenin.
Neem bij twijfel of een vermoeden altijd telefonisch contact op met de persoon waarvan je verwacht dat het bericht afkomstig is. Maak altijd melding van het voorval bij je IT-verantwoordelijke of afdeling om het te onderzoeken en eventueel te blokkeren.
Better safe than sorry!
Kan dit niet gewoon op voorhand worden voorkomen door deze functie uit te zetten?
Absoluut. Het is voor je Teams Admin mogelijk om preventieve maatregelen te treffen en het beleid aan te passen, zodat contacten buiten de organisatie waarvoor je werkzaam bent geen connectie meer kunnen maken. Mocht je met bepaalde externe bedrijven wél contact willen leggen op de manier zoals omschreven in dit artikel dan is het mogelijk deze bedrijven toe te laten voegen aan een lijst met veilige afzenders.
Hulp nodig?
We helpen je graag verder! Neem gerust contact met ons op via support@experit.nl voor een gebruiksanalyse en om de juiste instellingen toe te passen.