Σύνοψη:
- Ερευνητές εντόπισαν καμπάνια που καταχράται νόμιμες λειτουργίες του Microsoft Teams για να στοχεύσει χρήστες χωρίς κλασικά phishing links.
- Οι επιτιθέμενοι στέλνουν επίσημης μορφής προσκλήσεις μέσω “Invite a Guest” και οδηγούν τα θύματα σε ψεύτικη τηλεφωνική υποστήριξη.
- Τα βασικά σημάδια είναι ύποπτα ονόματα ομάδων, περίεργη μορφοποίηση/Unicode και μηνύματα με επείγουσα οικονομική γλώσσα.
Τι συμβαίνει: hackers καταχρώνται λειτουργίες του Microsoft Teams
Οι επιτιθέμενοι πλέον καταχρώνται νόμιμες λειτουργίες του Microsoft Teams για να προσεγγίσουν χρήστες χωρίς να χρησιμοποιούν παραδοσιακά phishing links, σύμφωνα με νέα έρευνα.
Ειδικοί της Check Point διαπίστωσαν ότι η καμπάνια ξεκινά όταν οι hackers δημιουργούν νέες ομάδες (teams) με ονόματα που παραπέμπουν σε οικονομικά θέματα ή σε επείγουσα χρέωση/τιμολόγηση.
Συχνά ενσωματώνουν τεχνικές απόκρυψης (obfuscation), όπως μικτούς Unicode χαρακτήρες ή οπτικά παρόμοια σύμβολα.
Αυτές οι τακτικές βοηθούν τα κακόβουλα ονόματα ομάδων να παρακάμπτουν αυτοματοποιημένους ελέγχους, ενώ για τον χρήστη φαίνονται φυσιολογικά.
Info Box — Πληροφορία: Το “Unicode obfuscation” βασίζεται σε γράμματα/σύμβολα που μοιάζουν (π.χ. λατινικό “a” vs κυριλλικό “а”), ώστε το κείμενο να δείχνει «σωστό» αλλά να ξεφεύγει από φίλτρα.
Πως η “κατάληψη” οδηγεί σε πρόσβαση στα εταιρικά emails
Μόλις οι επιτιθέμενοι στήσουν το team, χρησιμοποιούν τη λειτουργία “Invite a Guest” για να στείλουν επίσημης μορφής emails από τη Microsoft απευθείας στους στόχους. Έτσι, οι προσκλήσεις φαίνονται πιο αξιόπιστες και αυξάνεται η πιθανότητα αλληλεπίδρασης.
Τα phishing μηνύματα καθοδηγούν τους παραλήπτες να καλέσουν ένα απατηλό “support” τηλέφωνο για να λύσουν δήθεν ζητήματα συνδρομής ή χρέωσης.
Κατά τη διάρκεια της κλήσης, οι δράστες επιχειρούν να αποσπάσουν διαπιστευτήρια σύνδεσης ή άλλα ευαίσθητα στοιχεία που μπορούν να χρησιμοποιηθούν για πρόσβαση σε εταιρικούς λογαριασμούς email.
Σε αντίθεση με το συμβατικό phishing, η καμπάνια αποφεύγει κακόβουλα links ή επισυναπτόμενα malware και βασίζεται στην κοινωνική μηχανική για να παραβιάσει λογαριασμούς.
Info Box — Προειδοποίηση: Μην καλείτε ποτέ αριθμό “υποστήριξης” που σας ήρθε από απρόσμενη πρόσκληση/μήνυμα. Επικοινωνήστε με IT μέσω επίσημων καναλιών.
Γιατί η μέθοδος είναι αποτελεσματική (και τι την κάνει επικίνδυνη)
Ο συνδυασμός επίσημης Microsoft επικοινωνίας και επείγουσας, οικονομικής ορολογίας («τιμολόγιο», «ανεξόφλητο ποσό», «αναστολή συνδρομής») δημιουργεί υψηλότερο επίπεδο εμπιστοσύνης.
Αυτό μπορεί να κάνει τις τυπικές προστασίες (π.χ. firewall) λιγότερο αποτελεσματικές, αν δεν υπάρχει εγρήγορση χρήστη.
Τι να προσέξετε: σημάδια κινδύνου σε προσκλήσεις Teams
Οι χρήστες πρέπει να αντιμετωπίζουν κάθε απρόσμενη πρόσκληση στο Teams με προσοχή, ειδικά αν:
- το όνομα της ομάδας περιέχει ποσά πληρωμής, τιμολόγια, τηλεφωνικούς αριθμούς ή ασυνήθιστη μορφοποίηση
- υπάρχουν απόκρυφοι χαρακτήρες, ασυνεπής ορθογραφία ή «περίεργα» κενά
- εμφανίζεται τεράστια γραμματοσειρά ή μορφοποίηση που τραβά την προσοχή
Γρήγορος οδηγός “κόκκινων σημαιών”
| Ένδειξη | Τι μπορεί να σημαίνει | Τι κάνετε |
|---|---|---|
| Team name με «Invoice/Payment/Overdue» | Κοινωνική μηχανική μέσω οικονομικού άγχους | Μην αλληλεπιδράτε, ενημερώστε IT |
| Παράξενοι χαρακτήρες/Unicode | Προσπάθεια παράκαμψης ανίχνευσης | Αντιγραφή ονόματος σε plain text, έλεγχος |
| Περιέχει τηλέφωνο “support” | Vishing (τηλεφωνικό phishing) | Καμία κλήση, επίσημο helpdesk μόνο |
| Απρόσμενη πρόσκληση “Guest” | Κακόβουλη είσοδος από εξωτερικό tenant | Απόρριψη/Report, έλεγχος αποστολέα |
Τι πρέπει να κάνουν οι οργανισμοί (εκπαίδευση + άμεση αναφορά)
Οι οργανισμοί που χρησιμοποιούν ευρέως τέτοια εργαλεία συνεργασίας πρέπει να διασφαλίσουν ότι το προσωπικό εκπαιδεύεται ώστε να αναγνωρίζει αυτές τις «λεπτές» ενδείξεις και να αναφέρει άμεσα ύποπτες προσκλήσεις.
Επιπλέον, διαδικασίες αφαίρεσης κακόβουλου λογισμικού και πολυεπίπεδη ασφάλεια email προσφέρουν πρόσθετη προστασία, όμως ο ανθρώπινος παράγοντας παραμένει κρίσιμος για την αποτροπή παραβίασης.
Ποιοι στοχεύτηκαν και που: στοιχεία της Check Point
Η Check Point αναφέρει ότι η επίθεση έχει στοχεύσει οργανισμούς σε πολλούς κλάδους, όπως:
- βιομηχανία/μεταποίηση
- τεχνολογία
- εκπαίδευση
- επαγγελματικές υπηρεσίες
Info Box — Στατιστικό: Η ανάλυση δείχνει συγκέντρωση περιστατικών στις ΗΠΑ (~68%), ενώ ακολουθεί η Ευρώπη (15,8%) και η Ασία (6,4%).
Κατανομή περιστατικών ανά περιοχή (σύμφωνα με την ανάλυση)
| Περιοχή | Ποσοστό περιστατικών |
|---|---|
| Ηνωμένες Πολιτείες | ~68% |
| Ευρώπη | 15,8% |
| Ασία | 6,4% |
| Αυστραλία/Νέα Ζηλανδία/Καναδάς/LATAM | Μικρότερα ποσοστά (συνολικά) |
Λατινική Αμερική: οι χώρες με τη μεγαλύτερη δραστηριότητα
| Υποπεριοχή | Εύρημα |
|---|---|
| Βραζιλία + Μεξικό | >75% των περιφερειακών περιστατικών στη LATAM |
Παρότι οι επιτιθέμενοι δεν φαίνεται να στοχεύουν σκόπιμα συγκεκριμένους κλάδους, η καμπάνια δείχνει την κλίμακα στην οποία μπορούν να αξιοποιηθούν έμπιστα collaboration platforms.
Πρακτικές άμυνες για Teams & email, βήμα-βήμα
Η συγκεκριμένη τεχνική είναι ιδιαίτερα ύπουλη επειδή «πατά» πάνω σε πραγματικά Microsoft notifications και σε λειτουργίες που πολλές εταιρείες χρειάζονται καθημερινά (προσκλήσεις συνεργατών, εξωτερικά projects, vendors).
Η άμυνα, λοιπόν, δεν είναι απλώς «κόψτε τα guest invites», αλλά ένας συνδυασμός πολιτικών, ρυθμίσεων και διαδικασιών αναφοράς.
1) Τι να κάνει άμεσα ένας χρήστης (playbook 60 δευτερολέπτων)
Αν λάβετε απρόσμενη πρόσκληση Teams:
- Μην καλέσετε κανέναν αριθμό και μην απαντήσετε στο μήνυμα.
- Ελέγξτε αν αναγνωρίζετε τον αποστολέα/οργανισμό. Αν όχι, απορρίψτε την πρόσκληση.
- Κάντε Report (όπου υπάρχει) ή προωθήστε screenshot/headers στο IT/SOC.
- Αν έχετε ήδη αλληλεπιδράσει, αλλάξτε κωδικό, αποσυνδέστε ενεργές συνεδρίες και ενημερώστε IT.
2) Ρυθμίσεις που αξίζει να εξετάσει το IT (χωρίς να «σπάσει» τη συνεργασία)
Για οργανισμούς Microsoft 365, συνήθως έχουν νόημα τα παρακάτω (ανάλογα με την πολιτική σας):
- Περιορισμός external access / guest access: επιτρέψτε guests μόνο από εγκεκριμένους domains (allow-list).
- Conditional Access: απαιτήστε MFA και μπλοκάρετε συνδέσεις από ύποπτες τοποθεσίες/συσκευές.
- Defender for Office 365 / Safe Links & Safe Attachments: παρότι εδώ δεν υπάρχουν links, βοηθά στη συνολική υγιεινή και στο phishing οικοσύστημα.
- Αυτόματες ειδοποιήσεις/κανόνες για «μαζικές προσκλήσεις» ή ασυνήθιστη δημιουργία teams με keywords (invoice, payment κ.λπ.).
3) Εκπαίδευση προσωπικού με ρεαλιστικά σενάρια
Το κλειδί είναι να εκπαιδευτεί ο κόσμος να αναγνωρίζει όχι μόνο “ένα ύποπτο link”, αλλά:
- επείγουσα οικονομική γλώσσα που πιέζει για δράση,
- τηλεφωνική επιβεβαίωση (vishing) ως «εναλλακτικό κανάλι» επίθεσης,
- οπτικά τεχνάσματα όπως Unicode και περίεργη μορφοποίηση.
4) Μια απλή, εφαρμόσιμη πολιτική: «Support μόνο από επίσημο κατάλογο»
Καθιερώστε κανόνα ότι αριθμοί υποστήριξης και διαδικασίες πληρωμών/τιμολόγησης προέρχονται μόνο από:
- εσωτερικό intranet,
- επίσημο ticketing σύστημα,
- ή τον εταιρικό κατάλογο επαφών.
5) Γιατί αυτό θα συνεχιστεί
Ακόμα και με firewalls και ελέγχους, οι επιτιθέμενοι προσαρμόζονται επειδή τα collaboration εργαλεία θεωρούνται «έμπιστα». Άρα η καλύτερη άμυνα είναι: εγρήγορση, ενημερωμένοι χρήστες και γρήγορη αναφορά ώστε να γίνει άμεσο containment (μπλοκάρισμα domains/tenants, αναζήτηση παρόμοιων invites, reset λογαριασμών όπου χρειάζεται).
Αν ο οργανισμός σας βασίζεται έντονα στο Teams, αντιμετωπίστε τις προσκλήσεις σαν email υψηλού ρίσκου: με έλεγχο προέλευσης, κανόνες και ξεκάθαρη διαδικασία αναφοράς. Αυτό μειώνει δραστικά την πιθανότητα να οδηγήσει μια «αθώα» πρόσκληση σε πρόσβαση στα εταιρικά σας emails.
