Phishingové útoky v Microsoft Teams: Falešná technická podpora a emailové bomby

Kyberzločinci zneužívají Microsoft Teams k phishingovým útokům. Naučte se rozpoznávat hrozby, zlepšit zabezpečení a ochránit svou organizaci před těmito podvody.

Podvody s falešnou technickou podporou nejsou žádnou novinkou. Předstírání, že někdo pomáhá vyřešit problém – například opravit počítač – je klasická kyberzločinecká taktika. Tito podvodníci využívají strachu, úzkosti a důvěry. Zpráva FBI IC3 o podvodech za rok 2023 zjistila, že podvody s technickou podporou byly třetím nejdražším typem podvodu, přičemž bylo ve Spojených státech podáno 37 500 stížností s celkovými ztrátami přesahujícími 924 milionů dolarů.

Kyberzločinci však nikdy neusínají na vavřínech. Jakmile jsou jejich metody a techniky odhaleny a bezpečnostní odvětví na ně reaguje novými opatřeními, útočníci své hrozby inovují. Objevila se nová a důmyslná taktika, která vychází z podvodu s technickou podporou, ale využívá masové phishingové útoky a zneužívá MS Teams. Jaký to má dopad na poskytovatele spravovaných služeb (MSP) a co lze udělat pro minimalizaci rizika pro vaše klienty?

Ransomware, emailové bomby a MS Teams: dokonalá kombinace pro kyberzločin

Phishingové emaily jsou často spojovány s infekcemi ransomwarem – kyberzločinci často využívají phishing jako první krok k zahájení řetězce událostí vedoucích k ransomwaru. Tyto útoky lákají a manipulují zaměstnance i členy dodavatelského řetězce. Mezi tři nejčastější následky phishingu patří krádež přihlašovacích údajů, únik dat a infekce ransomwarem.

Aby si kyberzločinci udrželi úspěšnost phishingových útoků při doručování ransomwaru, musí neustále inovovat své metody, aby se vyhnuli detekci. Nejnovější aktualizace této taktiky je založena na podvodu s technickou podporou, avšak s nebezpečnými úpravami. Útočníci využívají důmyslnou kombinaci phishingových útoků, sociálního inženýrství, standardních nástrojů technické podpory a důvěry, kterou MSP získává. Tito útočníci obvykle patří ke známým hackerským skupinám, jako jsou Black Basta Ransomware a FIN7, které se proslavily využíváním phishingových útoků k zahájení infekcí ransomwarem. Skupina Black Basta byla nedávno také zaznamenána při využívání QR kódů jako součásti útočného řetězce, což jim umožňuje obejít vícefaktorovou autentizaci (MFA) poté, co ukradnou přihlašovací údaje uživatele.

Kroky vedoucí k infekci ransomwarem a krádeži dat v rámci tohoto nejnovějšího podvodu s technickou podporou obvykle vypadají takto:

Krok první:

Útočníci rozesílají „emailové bomby“ jako součást phishingového útoku cíleného na zaměstnance. To znamená odeslání tisíců e-mailů během krátké doby – jeden z cílených zaměstnanců obdržel 3 000 e-mailů během 45 minut. Tento příval zpráv má vyvolat úzkost, strach a vytvořit pocit naléhavosti u oběti.

Krok druhý:

Další fáze zahrnuje F2F (face-to-face) kontakt nebo hlasový phishing (vishing) jako součást sociálního inženýrství. V této aktualizované verzi podvodu s technickou podporou je cílená osoba kontaktována „manažerem helpdesku“ z MSP prostřednictvím videohovoru v MS Teams. Jelikož cílová společnost MSP využívá, není takový hovor ničím neobvyklým. Útočník přitom využívá výchozí konfiguraci Microsoft Teams, která umožňuje hovory a chaty z externích domén.

Krok třetí:

Falešný manažer helpdesku (tedy útočník) přesvědčí oběť, aby nastavila vzdálené ovládání obrazovky pomocí vestavěné funkce vzdáleného ovládání v Teams a nástroje QuickAssist. Zaměstnanec si přitom vůbec neuvědomuje, že jde o podvod. Otevřením relace vzdáleného ovládání umožní útočníkovi přístup do podnikové sítě.

Krok čtvrtý:

Ve fázi infekce útočník zahájí několik kroků prostřednictvím relace vzdáleného ovládání, přičemž využívá nástroje jako ScreenConnect a NetSupport Manager. Díky nim může spustit škodlivé soubory a provádět příkazy v PowerShellu.

Existuje několik variant kampaně s emailovými bombami v MS Teams, ale všechny vedou k infekci malwarem, jako je Qakbot, Cobalt Strike a ransomware Black Basta.

Role MSP při prevenci podvodů s technickou podporou

V této nejnovější phishingové kampani útočníci zneužívají důvěru v MSP. MSP je pro klienta klíčovým partnerem, a pokud dojde k narušení této důvěry, je její obnova složitá. Poslední věc, kterou MSP potřebuje, je poškození své pověsti kyberzločinci. Naštěstí se proti těmto novým typům sofistikovaných kyberhrozeb může bránit.

Připravený MSP by měl svým zákazníkům nabízet více vrstev ochrany proti phishingu a sociálnímu inženýrství. Tyto vrstvy mohou pomoci zastavit i propracované a vícefázové phishingové útoky, čímž chrání organizaci klienta a zároveň posilují důvěryhodnost MSP jako bezpečnostního partnera.

Vícevrstvá ochrana proti phishingovým útokům, které využívají emailové bomby a sociální inženýrství, zahrnuje následující opatření:

Ochrana proti phishingu

Emailová bomba je klíčovým prvkem tohoto podvodu s technickou podporou. Řešení pro ochranu proti phishingu poháněné umělou inteligencí poskytne špičkovou ochranu pro M365 s další vrstvou zabezpečení. Ochrana proti phishingu od TitanHQ využívá vrstvy analýzy a modely strojového učení (ML) k detekci phishingových e-mailů. Pečlivě spravované databáze identifikují škodlivé URL adresy a poskytují špičkovou obranu proti phishingovým hrozbám, včetně těch, které Microsoft přehlédne.

Další funkce, jako je automatická remediace, identifikuje a odstraňuje e-maily obsahující škodlivé odkazy. Tyto pokročilé funkce mezi tenanty jsou klíčové pro efektivní detekci a reakci na hrozby.

Školení bezpečnostního povědomí jako služba

Základem podvodu s technickou podporou je sociální inženýrství. Pokud dojde k nejhoršímu scénáři a útočníci získají přístup k cílovému zaměstnanci, musí být tento zaměstnanec připraven. Školení bezpečnostního povědomí pomůže zaměstnancům porozumět útokům, jako je tento složitý podvod s technickou podporou, emailové bomby a phishingové útoky obecně. Díky tomu budou obezřetnější a lépe informovaní. Zaměstnanec pak může využít získané znalosti k rozpoznání a nahlášení možných útoků využívajících sociální inženýrství.

MSP může poskytovat školení bezpečnostního povědomí a phishingové simulace prostřednictvím cloudových výukových programů navržených pro nasazení MSP. Řešení pro bezpečnostní školení, jako TitanHQ SAT, využívají automatizaci k zajištění pravidelných školících kampaní. Phishingové simulace udržují zaměstnance v pozoru díky realistickým scénářům, které odrážejí aktuální taktiky hackerů a jsou přizpůsobeny chování jednotlivců, čímž je školení efektivnější.

Spojení vrstev pro odolnou ochranu do budoucna

Kombinace prevence proti spamu/phishingu a školení bezpečnostního povědomí je klíčová pro ochranu před sofistikovanými, vícefázovými phishingovými útoky využívajícími sociální inženýrství. Tento přístup spojuje pokročilé zabezpečení e-mailů s komplexním vzděláváním uživatelů, což organizacím umožňuje minimalizovat riziko vyvíjejících se hrozeb.

Díky ostražitosti a zavedení silných vrstev zabezpečení mohou organizace dosáhnout lepších bezpečnostních výsledků bez ohledu na nové taktiky kyberzločinců.

Kontaktujte nás a zjistěte, jak vám TitanHQ může pomoci implementovat vícevrstvou bezpečnostní strategii.

Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498