وفقا لنتائج من الأمن غير الطبيعي، تعرض Microsoft Teams لهجومين إلكترونيين خلال هذاالاسبوع. واستهدف الهجومين الإلكترونيين ما يصل إلى 50000 مستخدم مختلف للفرق على المنصة. واعتد المهاجمون في الهجوم الاول تسليح صورة GIF واحدة واستخدامها لسرقة البيانات من الأنظمة المستهدفة والاستيلاء على جميع حسابات Teams الخاصة بالمؤسسة. بينما ينتحل الهجوم الإلكتروني الحالي إشعارات من Microsoft Teams من أجل سرقة بيانات اعتماد Office 365 للموظفين.

تأتي هذه الأخبار عندما أصدرت وكالة الأمن السيبراني والأمن الداخلي (CISA) التابعة لوزارة الأمن الداخلي الأمريكية تحذيرا بشأن عمليات العمل عن بعد لـ Office 365. وقالت الوكالة “تواصل CISA رؤية الحالات التي لا تنفذ فيها الكيانات أفضل الممارسات الأمنية فيما يتعلق بتنفيذ Office 365 ، مما أدى إلى زيادة التعرض لهجمات الخصوم”.

في إحداها ، يتلقى الموظفون بريدا إلكترونيا يحتوي على رابط إلى مستند موجود على نطاق يستخدمه موفر تسويق بريد إلكتروني معروف لاستضافة المواد الثابتة المستخدمة في الحملات. إذا نقر المستلمون على الرابط ، فسيظهر لهم زر يطلب منهم تسجيل الدخول إلى Microsoft Teams – إذا تم النقر على هذا الزر ، فسيتم نقلهم إلى صفحة ضارة تنتحل شخصية صفحة تسجيل الدخول إلى Microsoft Office من أجل سرقة بيانات الاعتماد الخاصة بهم.

وقال باحثو الشركة في تحليل نشر يوم الجمعة يستخدم المهاجمون العديد من عمليات إعادة توجيه عناوين URL لإخفاء عنوان URL الحقيقي المستخدم الذي يستضيف الهجمات. ويستخدم هذا التكتيك في محاولة لتجاوز اكتشاف الارتباطات الضارة التي تستخدمها خدمات حماية البريد الإلكتروني.” على سبيل المثال في إحدى الهجمات ، ينشأ البريد الإلكتروني المرسل الفعلي من نطاق مسجل مؤخرا ، وهو “sharepointonline-irs.com” ، الذي أشار إليه Abnormal Security غير مرتبط لا بـ Microsoft أو IRS – وإنه مخفي بسبب عمليات إعادة التوجيه بالرغم من ذلك لا تقدم علامة حمراء واضحة للأهداف.

في الهجوم الثاني ، يشير رابط البريد الإلكتروني إلى صفحة YouTube ، والتي يتم إعادة توجيه المستخدمين منها مرتين للوصول أخيرا إلى موقع تصيد آخر لتسجيل دخول Microsoft.

ووفقا للتحليل ، فإن هؤلاء المهاجمين قاموا بصياغة رسائل بريد إلكتروني مقنعة تنتحل انتحال رسائل البريد الإلكتروني الآلية من Microsoft Teams. تبدو الصفحات المقصودة التي تستضيف كلا الهجومين متطابقة مع صفحات الويب الحقيقية ، ويتم نسخ الصور المستخدمة من الإشعارات والرسائل الإلكترونية الفعلية من هذا المزود.

وحذر Abnormal Security من أن المهاجمين يمكنهم الوصول إلى أكثر من بيانات الاعتماد الخاصة بالخدمة المحددة الممثلة في صفحات التصيد: نظرًا لأن Microsoft Teams مرتبط بـ Microsoft Office 365 ، فقد يتمكن المهاجم من الوصول إلى معلومات أخرى متاحة باستخدام بيانات اعتماد Microsoft للمستخدم عبر – سجل دخولك.

قال الباحثون إن الحملات فعالة بشكل خاص على الهاتف المحمول ، حيث تحتل الصور معظم المحتوى على الشاشة وحيث يصعب فحص عناوين URL. ولكن حتى على سطح المكتب ، فإن الهجمات معدة جيدا باستخدام صور شرعية حالية ، وبالتالي فهي مقنعة تماما ، وفقا للتحليل.

وأشار الباحثون إلى الوضع الحالي [حيث يعمل الناس من المنزل] ، فقد اعتاد الناس على الإخطارات الواردة من مزودي برامج التعاون. وبسبب هذا ، قد لا يقوم المستخدم بالتحقيق أكثر في الرسالة ويسقط ببساطة في هذا الهجوم.

هذا الأسبوع أيضا ، ظهرت أخبار عن حملة تسمى “PerSwaysion” ، والتي استفادت من عرض مشاركة الملفات من Sway من Microsoft و Office 365 للتحايل على مديري الشركات بشكل مقنع. وحذر تنبيه CISA المذكور أعلاه فرق تكنولوجيا المعلومات من التسرع في العمل عن بعد بواسطة Office 365.

المصدر: هنا

 

مواضيع ذات صلة
اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.