Phishing-aanval van Microsoft Teams richt zich op Office 365-gebruikers.

Tot 50.000 Office 365-gebruikers worden het doelwit van een phishing-campagne die beweert hen op de hoogte te stellen van een “gemiste chat” van Microsoft Teams.

Onderzoekers waarschuwen voor een phishing-campagne die zich voordoet als een geautomatiseerd bericht van Microsoft Teams. In werkelijkheid is de aanval bedoeld om de inloggegevens van Office 365-ontvangers te stelen.

Teams is de populaire samenwerkingstool van Microsoft, die tijdens de pandemie vooral in populariteit is gestegen onder externe medewerkers, waardoor het een aantrekkelijk merk is voor aanvallers om zich voor te doen. Deze specifieke campagne is naar tussen de 15.000 en 50.000 Office 365-gebruikers gestuurd, volgens onderzoekers van Abnormal Security op donderdag.

“Omdat Microsoft Teams een instant messaging-service is, zijn ontvangers van deze melding wellicht eerder geneigd om erop te klikken, zodat ze snel kunnen reageren op elk bericht dat ze denken te hebben gemist op basis van de melding”, aldus onderzoekers in een analyse van donderdag.

De eerste phishing-e-mail bevat de naam ‘Er is nieuwe activiteit in Teams’, waardoor het lijkt op een automatische melding van Microsoft Teams.

Zoals te zien is in de onderstaande afbeelding, vertelt de e-mail de ontvanger dat hun teamgenoten hen proberen te bereiken, hen te waarschuwen dat ze Microsoft Team-chats hebben gemist en een voorbeeld te laten zien van een teamgenoot-chat waarin hen wordt gevraagd iets in te dienen vóór woensdag van volgende week.

Erin Ludert, datawetenschapper bij Abnormal Security, vertelde Threatpost-onderzoekers dat aanvallers hier meer een ‘spray’-tactiek gebruiken, omdat de werknemer waarnaar in de chats wordt verwezen geen werknemer lijkt te zijn van het bedrijf dat de aanval heeft ontvangen.

Om te reageren, spoort de e-mail de ontvanger aan om op de knop “Reageren in teams” te klikken. Dit leidt echter tot een phishing-pagina.

“In de hoofdtekst van de e-mail zijn er drie links die worden weergegeven als‘ Microsoft Teams ’,‘ (contact) heeft een bericht verzonden in instant messenger ’en‘ Reageren in teams ’, aldus onderzoekers. “Als u op een van deze klikt, komt u op een nepwebsite die de inlogpagina van Microsoft nabootst. De phishing-pagina vraagt ​​de ontvanger om zijn e-mailadres en wachtwoord in te voeren. “

Onderzoekers zeiden dat de phishing-bestemmingspagina er ook overtuigend uitziet als een aanmeldingspagina van Microsoft, waarbij het begin van de URL ‘microsftteams’ bevat. Als ontvangers ervan overtuigd zijn om hun Microsoft-inloggegevens op de pagina in te voeren, geven ze deze onbewust over aan aanvallers, die ze vervolgens kunnen gebruiken voor allerlei kwaadaardige doeleinden, waaronder het overnemen van accounts.

Met de aanhoudende pandemie zijn de zorgen over cyberaanvallers die gebruikmaken van bedrijfsvriendelijke samenwerkingsmerken zoals Microsoft Teams, Zoom en Skype gewekt. In mei circuleerde een overtuigende campagne die zich voordeed als meldingen van Microsoft Teams om de Office 365-inloggegevens van werknemers te stelen, met twee afzonderlijke aanvallen gericht op maar liefst 50.000 verschillende Teams-gebruikers.

Microsoft staat aan de top als het gaat om imitatie van hackers – met Microsoft-producten en -services die in bijna een vijfde van alle wereldwijde phishing-aanvallen van merken in het derde kwartaal van dit jaar voorkomen. Aanvallers gebruiken ook geavanceerde tactieken, waaronder visuele CAPTCHAS om Office 365-gebruikers te targeten en token-gebaseerde autorisatiemethoden.

Om te reageren, spoort de e-mail de ontvanger aan om op de knop “Reageren in teams” te klikken. Dit leidt echter tot een phishing-pagina.

“In de hoofdtekst van de e-mail zijn er drie links die worden weergegeven als‘ Microsoft Teams ’,‘ (contact) heeft een bericht verzonden in instant messenger ’en‘ Reageren in teams ’, aldus onderzoekers. “Als u op een van deze klikt, komt u op een nepwebsite die de inlogpagina van Microsoft nabootst. De phishing-pagina vraagt ​​de ontvanger om zijn e-mailadres en wachtwoord in te voeren. “

Onderzoekers zeiden dat de phishing-bestemmingspagina er ook overtuigend uitziet als een aanmeldingspagina van Microsoft, waarbij het begin van de URL ‘microsftteams’ bevat. Als ontvangers ervan overtuigd zijn om hun Microsoft-inloggegevens op de pagina in te voeren, geven ze deze onbewust over aan aanvallers, die ze vervolgens kunnen gebruiken voor allerlei kwaadaardige doeleinden, waaronder het overnemen van accounts.

Met de aanhoudende pandemie zijn de zorgen over cyberaanvallers die gebruikmaken van bedrijfsvriendelijke samenwerkingsmerken zoals Microsoft Teams, Zoom en Skype gewekt. In mei circuleerde een overtuigende campagne die zich voordeed als meldingen van Microsoft Teams om de Office 365-inloggegevens van werknemers te stelen, met twee afzonderlijke aanvallen gericht op maar liefst 50.000 verschillende Teams-gebruikers.

Microsoft staat aan de top als het gaat om imitatie van hackers – met Microsoft-producten en -services die in bijna een vijfde van alle wereldwijde phishing-aanvallen van merken in het derde kwartaal van dit jaar voorkomen. Aanvallers gebruiken ook geavanceerde tactieken, waaronder visuele CAPTCHAS om Office 365-gebruikers te targeten en token-gebaseerde autorisatiemethoden.

Bron: threatpost