● news.bsdnet.hu

A Microsoft Teams rendszert általában biztonságosabbnak tartják a belső kommunikációhoz, mint a közönséges e-mailt, és ennek van is némi alapja (beépített titkosítás, MFA, stb.), de az is biztos, hogya felhasználói bizalom miatt ez a platform is ki van téve az adathalászatnak. A friss esetünknél egy kifinomult trükkös módszert láthatunk, amely célzottan a vállalatokat támadja. A jól előkészített akció úgy kezdődik, hogy elárasztják a kiszemelt céget hatalmas mennyiségű kéretlen e-maillel,hogy ezzel helyi szinten káoszt keltsenek és frusztrációt okozzanak, és eközben előkészítsék maguknak a terepet. Feltételezhetően egyes szervezeteknél (például kiszervezett IT esetén) ez növelheti a siker esélyét, mindenesetrea támadók a Microsoft Teams ügyfélszolgálat (helpdesk) munkatársának nevében jelentkeznek, és felajánlják a segítségüket a probléma megoldásához. A hamis ügyfélszolgálatos ehhez "természetesen" egy linket küld, amely egy hamis helyi javítás telepítésére veszi rá az áldozatot arra hivatkozva, hogy az megakadályozza a spam áradatot (egy állítólagos Mailbox Repair Utility).Ennek futtatása után megjelenik egy állapot-ellenőrző gomb, amelyre kattintva egy oldalra jutunk, ahol e-mail címmel és jelszóval kell hitelesíteni magunkat. Ez már egyértelmű adathalászat, de a módszer rafinált, mertaz első két próbálkozásnál szándékosan hibás jelszót jelez vissza a rendszer. Ennek két oka van, egyrészt hitelesebbnek tűnik az áldozatnak az alapos ellenőrzés, de egyúttal azt is biztosítja a támadók részére, hogy biztosan, elgépelésmentesen többször is megkapják az így ellopott jelszót. Miközben a felhasználó azt hiszi, hogy éppen a fiókja javítása zajlik,a háttérben már egy "Snow" nevű kártevőcsomag települ a gépére, amely hátsóajtót nyit, és lehetővé teszi a támadók számára az állandó távoli hozzáférést, képernyőmentések készítését és az adatok észrevétlen ellopását. A módszer részben azért sikeres, mert a Teams közvetlen üzenetküldő funkcióját használják ki a hitelesség látszatának megteremtéséhez, éssokan tévesen azt hiszik, ebben a látszólagos zárt közegben csak a közvetlen kollégáik vagy hivatalos partnerek érik el őket.Az elkövetők az UNC6692 nevet kapták a felderítéskor, ami nem ad érdemi információt a csoportról, hiszen ez az Uncategorized, azaz be nem sorolt + egy sorszám alapján keletkezett. A social engineering, vagyis pszichológiai megtévesztés faktor erőteljesen jelen van, hiszenelőbb mesterségesen generálnak egy frusztráló látványos problémát a vállalatoknál, majd hivatalosnak tűnő "megmentőként" megérkeznek a csatatérre, ami erőteljesen javítja a manipuláció hatékonyságát, és sokaknál vélhetően elaltatja az egészséges gyanakvást. Emlékezetes, hogya korábbi, sablonos hamis support csalásoknál gyakran ott véreztek el, hogy a megkeresésnél a felhasználók egyáltalán nem tapasztaltak semmiféle problémát, és a csalók rábeszéléssel igyekeztek meggyőzni őket ennek az ellenkezőjéről. A fent említett rosszindulatú adathalász link, és később a telepítendő kártevő persze fennakadhat a jól beállított védelmi megoldásokon, de az optimális persze az lenne, ha már a kezdeti fázis legelején a biztonságtudatos, egészséges gyanakvás, óvatosság dominálna a felhasználóknál. Ha valaki kéretlenül és ismeretlenül keres meg bennünket akár a belső chaten és valamilyen szoftver telepítésére kér, mindig ellenőrizzük le az illetőt egy másik, alternatív hivatalos csatornán is, ellenkező esetben egy igen kellemetlen, a teljes vállalati infrastruktúrát érintő adatlopással vagy kiszivárogtatással kell szembenéznünk.Az incidens részletes leírása ezen a linken található.