This post is also available in:
English (אנגלית)
מיקרוסופט פרסמה אזהרה מפורטת בנוגע לשימוש הגובר בפלטפורמת Teams כנתיב להתקפות סייבר. בדו"ח חדש שפרסמה, מציינת החברה כי קבוצות פשיעה קיברנטית וגופים מדינתיים עוינים מנצלים את Teams בשלבים שונים של מחזור חיי ההתקפה – משלב הסיור והאיסוף ועד לשהייה ומהווים בכך סיכון אבטחה משמעותי לארגונים.
הדו"ח מפרט כיצד תוקפים משתמשים ב-Teams לא רק ככלי תקשורת, אלא כנקודת כניסה לגניבת נתוני כניסה, גניבת מידע, הפצת נוזקות ופעולות התחזות. לפי צוות המודיעין של מיקרוסופט, תוקפים מתייחסים כיום ל-Teams כפלטפורמה רב-שימושית להנדסה חברתית וחדירה – בדומה לדרך שבה נעשה שימוש לרעה בדוא"ל.
אחת הדאגות המרכזיות היא האפשרות של תוקפים לאסוף מודיעין על משתמשים וקבוצות עם הגנה חלשה, במיוחד כאשר הגישה למשתמשים חיצוניים ואורחים פתוחה. ללא הגדרות פרטיות חזקות, שחקן עוין יכול לצפות בזמינות של משתמשים, להצטרף לפגישות חיצוניות, ולפנות לעובדים בהודעות אישיות או שיחות ישירות – מבלי לעורר חשד.
מבנה הפלטפורמה מאפשר לתוקפים להתחזות לצוות תמיכה טכנית פנימי, לעיתים תוך שימוש במיתוג מותאם אישית ודומיינים לגיטימיים כדי לשדר אמינות. במקרים מסוימים, אף נרכשו על ידי תוקפים חשבונות Teams לגיטימיים לצורך ביצוע פעולות תוך הסוואה כגוף מהימן.
מיקרוסופט הצביעה על מספר מקרים שבהם נשלחו כלים לשליטה מרחוק ונוזקות דרך הודעות Teams או שיחות חיות, כולל שימוש בכלים כמו TeamsPhisher. קבוצה בשם Storm-1811 התחזתה לתמיכה טכנית וגרמה משתמשים להוריד נוזקות. במקרים אחרים, תוקפים התחזו ללקוחות במהלך שיחות ושכנעו קורבנות להתקין תוכנות שליטה מרחוק כמו AnyDesk, ששימשו בהמשך לפריסת קוד זדוני.
גם נושא ההתבססות והשהייה מדאיג: גם לאחר שזוהתה חדירה, תוקפים עשויים להמשיך להשתמש ב-Teams כדי לשמר גישה למערכת, בין אם באמצעות יצירת חשבונות אורח, ניצול כלי ניהול מערכת, או שינוי הגדרות הפעלה מחדש כדי להחזיר קוד זדוני לפעולה.
מיקרוסופט ממליצה לארגונים ליישם הגנות רב-שכבתיות – ברמת הזהות, תחנות הקצה, הרשת והמידע. בנוסף, מומלץ למנהלי Teams להגביל גישה חיצונית, לעקוב אחר פעילות חשבונות ולהחיל מדיניות אימות מחמירה.
ככל שפלטפורמות שיתוף פעולה ממשיכות לתפוס תפקיד מרכזי בפעילות הארגונית, מצב האבטחה שלהן יהפוך לקריטי להגנה מפני איומים.
