Een vriendelijk berichtje van een collega en hoppa, zonder te twijfelen download je een bestand met malware of vul je een formulier in met gevoelige informatie. In Microsoft Teams ga je immers ervan uit dat je alleen communiceert met collega's of andere bekenden. Maar helaas, cybercriminelen hebben de populaire vergaderapp ook ontdekt. Social engineering in Teams is een reëel gevaar. Met een doortimmerde security en goede voorlichting aan gebruikers zijn de risico's te beperken.
De phishingmails en nep-sms'jes kennen we inmiddels wel. Dat cybercriminelen hun werkterrein inmiddels ook uitbreiden naar populaire applicaties als Microsoft Teams, is geen verrassing. Cloudomgevingen blijven maar in populariteit groeien en daarmee worden die omgevingen ook steeds interessanter voor aanvallers. Securityspecialist Proofpoint ontdekte dat Microsoft Teams in de tweede helft van 2022 een van de tien meest aangevallen inlogapplicaties was: Playing for the wrong team: dangerous functionalities in Microsoft Teams enable phishing and malware delivery by attackers.
Rommelen met tabbladen
Proofpoint toont aan dat er verschillende manieren zijn om via social engineering Teams-gebruikers om de tuin te leiden. In de eerste plaats is er een kwetsbaarheid waardoor aanvallers de tabbladen die je als gebruiker in een sessie ziet kunnen manipuleren. Met behulp van API-aanroepen zijn ze bijvoorbeeld in staat een tabblad een andere naam te geven of tabbladen te herschikken. Zo kunnen ze bestaande tabbladen vervangen door tabbladen met dezelfde naam, maar dan met een link naar een schadelijke website die al kan worden geactiveerd zodra een gebruiker op het nagemaakte tabblad klikt. Uiteraard ziet zo'n website er ook heel legitiem uit, waardoor die niet direct wantrouwen wekt.
Ook kunnen aanvallers een tabblad koppelen aan een schadelijk bestand en zorgen dat zo'n bestand automatisch wordt gedownload naar het apparaat van een gebruiker, zelfs zonder dat die op het tabblad klikt.
Gemanipuleerde uitnodigingen
Ook via de uitnodiging voor een Teams-vergadering kan een gebruiker terechtkomen op een pagina die malware bevat. Dat kan gebeuren wanneer de link naar een vergadering is vervangen door een link die de gebruiker omleidt naar zo'n site. Zo downloaden gebruikers malware zonder dat ze het in de gaten hebben.
Toegang tot account nodig
Voor het misbruiken van de tabbladen en het plaatsen van valse links in een uitnodiging is het nodig dat cybercriminelen zich toegang hebben verschaft tot een gecompromitteerd account of Teams-token. Dat klinkt niet zo gevaarlijk, totdat je je realiseert dat in 2022 rond de 60 procent van de Microsoft-365-gebruikers werd getroffen door minstens één succesvolle overname van het account.
Bestanden delen met onbekenden
Een ander gevaar kan zich voordoen bij de communicatie met externe gebruikers, zo rapporteerde Jumpsec eind juni: IDOR in Microsoft Teams allows for external tenants to introduce malware. In een standaard-configuratie kunnen gebruikers van Teams binnen een organisatie communiceren met externe gebruikers. Het delen van bestanden via OneDrive is alleen mogelijk tussen leden van dezelfde Microsoft 365-groep of tenant. Dit om te voorkomen dat onbekenden ongecontroleerd bestanden kunnen versturen naar mensen in de organisatie. Dankzij een kwetsbaarheid blijken externe personen met een tool genaamd TeamsPhisher via een omweg toch bestanden te kunnen versturen naar mensen binnen de organisatie. Criminelen omzeilen beveiligingscontroles en passen een hyperlink zo aan dat het lijkt alsof het om een intern gedeeld bestand gaat. Wanneer een medewerker hierop klikt, komt het bestand met malware alsnog binnen.
Technische maatregelen
Microsoft heeft aangegeven deze kwetsbaarheden te zullen aanpakken. Dat neemt niet weg dat je als organisatie het nodige moet doen om deze en toekomstige dreigingen buiten de deur te houden. Allereerst zijn er technische maatregelen die je kunt nemen. Sommige daarvan zijn erg radicaal en vaak niet wenselijk, bijvoorbeeld het volledig uitschakelen van de mogelijkheid om te chatten met externe gebruikers. Beter is het om te zorgen voor sterke beveiligingsmaatregelen. Denk aan een whitelist en blacklist voor vertrouwde domeinen.
Ook het voortdurend monitoren van het Teams-gebruik is aan te bevelen om ongeoorloofd gebruik op te sporen. Het is ook belangrijk om het beleid voor Teams-toegang regelmatig tegen het licht te houden en de gebruikers binnen de organisatie op de hoogte te houden van de spelregels.
Eén keer niet opletten
Minstens zo belangrijk als technische maatregelen is dat gebruikers zich bewust zijn van de gevaren. Dat geldt zeker in het geval van social engineering in applicaties als Teams. Dit is nu eenmaal moeilijker te herkennen dan onpersoonlijke e-mails met spelfouten en een verdachte afzender. Het is goed om medewerkers bewust te maken van de specifieke methodes die aanvallers gebruiken en de gevolgen van één keer niet goed opletten. Net als de technische maatregelen is dit een doorlopend proces.
Bij Fivespark denken we graag mee over het goed beveiligen van je M365-omgeving. Kun je wel wat advies gebruiken bij het inrichten en/of (deels) beheren van je Microsoft 365-omgeving inclusief Teams? Plan een adviesgesprek in met een van onze specialisten.
Lees hier verder over IT beheer.
