חוקרי אבטחת סייבר בחברת Proofpoint גילו מספר דרכים חדשות לניצול Microsoft Teams באמצעות הנדסה חברתית: "ניתחנו לאחרונה יותר מ- 450 מיליון הפעלות זדוניות שזוהו במהלך המחצית השנייה של 2022 והכוונה ללקוחות ענן של Microsoft 365", נכתב בדו"ח שפרסמה החברה. Proofpoint טוענת כי לפי הממצאים שלה, Microsoft Teams הוא אחד מעשרת היישומים הממוקדים ביותר למתקפות סייבר, כאשר בכמעט 40% מהארגונים הממוקדים נמצא לפחות ניסיון כניסה אחד בלתי מורשה שניסה להשיג גישה.
הראשונה מבין הטכניקות שנצפו על ידי צוות Proofpoint השיגה גישה למידע רגיש על ידי מניפולציה של כרטיסיות בערוצים או בצ'אטים של Teams. ההאקרים עשויים לשנות את שם הכרטיסייה כדי לגרום לה להיראות כמו כרטיסייה קיימת ולאחר מכן להפנות אותה לאתר זדוני. זוהי טקטיקה נפוצה המשמשת לדיוג אישורים: "בדרך כלל רשאים משתמשים לשנות את שמות הכרטיסיות לפי רצונם, כל עוד השם החדש אינו חופף לשם של כרטיסייה קיימת. בנוסף, מוגבלים משתמשים למיקום מחדש של כרטיסיות באופן שמציב אותם לפני ברירת המחדל." כרטיסיות שימשו גם להורדה מיידית של נוזקות, כאשר ההאקרים יצרו כרטיסיות מותאמות אישית המורידות אוטומטית קבצים המכילים נוזקות למכשירים של המשתמשים.
Proofpoint צפו גם בהאקרים שניסו לתמרן הזמנות לפגישה באמצעות קריאות של Teams API כדי להחליף קישורי ברירת מחדל בקישורים זדוניים. הדבר יכול להוביל לכך שמשתמשים מבקרים שלא ביודעין בדפי דיוג או מורידים נוזקות.
לבסוף, האקרים משנים קישורים קיימים בהודעות שנשלחו באמצעות ה- API של Teams או ממשק המשתמש. במקרים כאלו נשאר הקישור המוצג זהה, אך כתובת ה- URL הבסיסית שונתה כדי להוביל משתמשים לאתרי דיוג או הורדת נוזקות.
"חשוב לציין ששיטות אלו דורשות גישה קיימת מראש לחשבון משתמש שנפרץ או ל- Teams token", הבהיר דוח Proofpoint, בו צוין גם כי כ- 60% ממשתמשי Microsoft 365 סבלו לפחות מאירוע השתלטות מוצלח אחד על חשבון בשנת 2022. כתוצאה מכך, התפשטות הפוטנציאל של שיטות אלו יכולה לספק להאקרים אפשרויות יעילות לתנועה רוחבית במערכת המחשוב לאחר פריצה.
