Phishingové útoky v Microsoft Teams: Falošná technická podpora a e-mailové bomby

Kyberzločinci zneužívajú Microsoft Teams na phishingové útoky. Naučte sa rozpoznávať hrozby, zlepšiť zabezpečenie a ochrániť svoju organizáciu pred týmito podvodmi.

Podvody s falošnou technickou podporou nie sú žiadnou novinkou. Predstieranie, že niekto pomáha vyriešiť problém – napríklad opraviť počítač – je klasická kyberzločinecká taktika. Títo podvodníci využívajú strach, úzkosť a dôveru. Správa FBI IC3 o podvodoch za rok 2023 zistila, že podvody s technickou podporou boli tretím najnákladnejším typom podvodu, pričom v Spojených štátoch bolo podaných 37 500 sťažností s celkovými stratami presahujúcimi 924 miliónov dolárov.

Kyberzločinci však nikdy nezaspia na vavrínoch. Keď sú ich metódy a techniky odhalené a bezpečnostný sektor na ne reaguje novými opatreniami, útočníci svoje hrozby inovujú. Objavila sa nová a sofistikovaná taktika, ktorá vychádza z podvodu s technickou podporou, ale využíva masové phishingové útoky a zneužíva MS Teams. Aký to má dopad na poskytovateľov spravovaných služieb (MSP) a čo možno urobiť na minimalizáciu rizika pre vašich klientov?

Ransomware, e-mailové bomby a MS Teams: dokonalá kombinácia pre kyberzločin

Phishingové e-maily sú často spojené s infekciami ransomwarom – kyberzločinci často využívajú phishing ako prvý krok k spusteniu reťazca udalostí vedúcich k ransomwaru. Tieto útoky lákajú a manipulujú zamestnancov aj členov dodávateľského reťazca. Medzi tri najčastejšie následky phishingu patria krádež prihlasovacích údajov, únik dát a infekcia ransomwarom.

Aby si kyberzločinci udržali úspešnosť phishingových útokov pri doručovaní ransomwaru, musia neustále inovovať svoje metódy, aby sa vyhli detekcii. Najnovšia aktualizácia tejto taktiky je založená na podvode s technickou podporou, avšak s nebezpečnými úpravami. Útočníci využívajú sofistikovanú kombináciu phishingových útokov, sociálneho inžinierstva, štandardných nástrojov technickej podpory a dôvery, ktorú MSP získava. Títo útočníci zvyčajne patria k známym hackerským skupinám, ako sú Black Basta Ransomware a FIN7, ktoré sa preslávili využívaním phishingových útokov na spustenie infekcií ransomwarom. Skupina Black Basta bola nedávno tiež zaznamenaná pri využívaní QR kódov ako súčasti útočného reťazca, čo im umožňuje obísť viacfaktorovú autentifikáciu (MFA) po tom, čo ukradnú prihlasovacie údaje používateľa.

Kroky vedúce k infekcii ransomwarom a krádeži dát v rámci tohto najnovšieho podvodu s technickou podporou obvykle vyzerajú takto:

Krok prvý:

Útočníci rozosielajú „e-mailové bomby“ ako súčasť phishingového útoku zameraného na zamestnancov. To znamená odoslanie tisícok e-mailov v krátkom čase – jeden z cieľových zamestnancov dostal 3 000 e-mailov počas 45 minút. Tento príval správ má vyvolať úzkosť, strach a vytvoriť u obete pocit naliehavosti.

Krok druhý:

Ďalšia fáza zahŕňa F2F (face-to-face) kontakt alebo hlasový phishing (vishing) ako súčasť sociálneho inžinierstva. V tejto aktualizovanej verzii podvodu s technickou podporou je cieľová osoba kontaktovaná „manažérom helpdesku“ z MSP prostredníctvom videohovoru v MS Teams. Keďže cieľová spoločnosť MSP využíva, takýto hovor nepôsobí podozrivo. Útočník pritom využíva predvolenú konfiguráciu Microsoft Teams, ktorá umožňuje hovory a chaty z externých domén.

Krok tretí:

Falošný manažér helpdesku (teda útočník) presvedčí obeť, aby nastavila vzdialené ovládanie obrazovky pomocou vstavaných funkcií vzdialeného ovládania v Teams a nástroja QuickAssist. Zamestnanec si pritom vôbec neuvedomuje, že ide o podvod. Otvorením relácie vzdialeného ovládania umožní útočníkovi prístup do podnikovej siete.

Krok štvrtý:

Vo fáze infekcie útočník iniciuje niekoľko krokov prostredníctvom relácie vzdialeného ovládania, pričom využíva nástroje ako ScreenConnect a NetSupport Manager. Vďaka nim môže spustiť škodlivé súbory a vykonávať príkazy v PowerShelli.

Existuje niekoľko variantov kampane s e-mailovými bombami v MS Teams, ale všetky vedú k infekcii malvérom, ako je Qakbot, Cobalt Strike a ransomware Black Basta.

Úloha MSP pri prevencii podvodov s technickou podporou

V tejto najnovšej phishingovej kampani útočníci zneužívajú dôveru v MSP. MSP je pre klienta kľúčovým partnerom a ak dôjde k narušeniu tejto dôvery, jej obnova je zložitá. Posledná vec, ktorú MSP potrebuje, je poškodenie svojej povesti kyberzločincami. Našťastie existujú spôsoby, ako sa brániť proti týmto novým typom sofistikovaných kyberhrozieb.

Pripravené MSP by malo svojim zákazníkom ponúkať viac vrstiev ochrany proti phishingu a sociálnemu inžinierstvu. Tieto vrstvy môžu pomôcť zastaviť aj prepracované a viacfázové phishingové útoky, čím chránia organizáciu klienta a zároveň posilňujú dôveryhodnosť MSP ako bezpečnostného partnera.

Viacvrstvová ochrana proti phishingovým útokom, ktoré využívajú e-mailové bomby a sociálne inžinierstvo, zahŕňa nasledujúce opatrenia:

Ochrana proti phishingu

E-mailová bomba je kľúčovým prvkom tohto podvodu s technickou podporou. Riešenie na ochranu proti phishingu poháňané umelou inteligenciou poskytne špičkovú ochranu pre M365 s ďalšou vrstvou zabezpečenia. Ochrana proti phishingu od TitanHQ využíva vrstvy analýzy a modely strojového učenia (ML) na detekciu phishingových e-mailov. Starostlivo spravované databázy identifikujú škodlivé URL adresy a poskytujú špičkovú obranu proti phishingovým hrozbám, vrátane tých, ktoré Microsoft prehliadne.

Ďalšie funkcie, ako napríklad automatická remediácia, identifikujú a odstraňujú e-maily obsahujúce škodlivé odkazy. Tieto pokročilé funkcie medzi tenantmi sú kľúčové pre efektívnu detekciu a reakciu na hrozby.

Školenie bezpečnostného povedomia ako služba

Základom podvodu s technickou podporou je sociálne inžinierstvo. Ak dôjde k najhoršiemu scenáru a útočníci získajú prístup k cieľovému zamestnancovi, musí byť tento zamestnanec pripravený. Školenie bezpečnostného povedomia pomôže zamestnancom pochopiť útoky, ako je tento sofistikovaný podvod s technickou podporou, e-mailové bomby a phishingové útoky všeobecne. Vďaka tomu budú obozretnejší a lepšie informovaní. Zamestnanec potom môže využiť získané znalosti na rozpoznanie a nahlásenie možných útokov využívajúcich sociálne inžinierstvo.

MSP môže poskytovať školenie bezpečnostného povedomia a phishingové simulácie prostredníctvom cloudových výukových programov navrhnutých na nasadenie MSP. Riešenia pre bezpečnostné školenie, ako TitanHQ SAT, využívajú automatizáciu na zabezpečenie pravidelných školiacich kampaní. Phishingové simulácie udržujú zamestnancov v strehu vďaka realistickým scenárom, ktoré odrážajú aktuálne taktiky hackerov a sú prispôsobené správaniu jednotlivcov, čím je školenie efektívnejšie.

Spojenie vrstiev pre odolnú ochranu do budúcnosti

Kombinácia prevencie proti spamu/phishingu a školenia bezpečnostného povedomia je kľúčová pre ochranu pred sofistikovanými, viacfázovými phishingovými útokmi využívajúcimi sociálne inžinierstvo. Tento prístup spája pokročilé zabezpečenie e-mailov s komplexným vzdelávaním používateľov, čo organizáciám umožňuje minimalizovať riziko vyvíjajúcich sa hrozieb.

Vďaka ostražitosti a zavedeniu silných vrstiev zabezpečenia môžu organizácie dosiahnuť lepšie bezpečnostné výsledky bez ohľadu na nové taktiky kyberzločincov.

Kontaktujte nás a zistite, ako vám TitanHQ môže pomôcť implementovať viacvrstvovú bezpečnostnú stratégiu.

Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498