Atentie la apelurile false pe Microsoft Teams: Cum te pot fura atacatorii
Afla cum atacatorii folosesc apeluri false de suport IT pe Microsoft Teams pentru a introduce malware in reteaua firmei tale si cum te poti proteja eficient astazi.
Imagine · cybersecurity
In cei 17 ani de activitate la Activ.NET, am vazut cum vectorii de atac s-au mutat de la simple emailuri de tip phishing, care pot fi filtrate destul de usor, catre metode de inginerie sociala mult mai subtile. Astazi, un apel telefonic sau video pe Microsoft Teams poate fi mult mai periculos decat un link suspect. Angajatii tind sa aiba incredere in mediul corporate si sa ignore alertele vizuale pe care aplicatia le afiseaza. Recent, am observat in Arad o tendinta in randul firmelor mici de a accepta cu usurinta solicitari de 'remote control' de la persoane care se prezinta drept suport tehnic extern, fara a verifica sursa. Aceasta incredere oarba este cea mai mare vulnerabilitate din infrastructura oricarei companii.
#Ce s-a intamplat
Recent, cercetatorii in securitate au identificat o campanie sofisticata in care atacatorii abuzeaza de functia de apelare Microsoft Teams pentru a distribui malware-ul EtherRAT. Mecanismul este simplu, dar eficient: atacatorul initiaza un apel, afisand eticheta de 'External unfamiliar' (care indica faptul ca apelantul nu face parte din organizatia ta), pretinzand ca este un administrator de sistem. Odata ce victima accepta apelul si ofera permisiuni de partajare a ecranului, atacatorul ghideaza utilizatorul sa instaleze unelte legitime de acces la distanta (precum AnyDesk sau HopToDesk). Dupa preluarea controlului, se executa un script care descarca malware-ul EtherRAT, capabil sa fure date, sa execute comenzi de la distanta si sa mentina accesul permanent in retea folosind tehnologii blockchain pentru control (C2).
#Impact pentru firme
Pentru o firma din Arad, un astfel de atac inseamna paralizarea activitatii pe termen nedeterminat. Impactul nu este doar financiar, prin furtul de date sensibile sau criptarea sistemelor, ci si operational. Daca un atacator obtine acces total prin EtherRAT, acesta poate accesa serverele de email, baza de date cu clienti sau conturile bancare. Costul recuperarii dupa un astfel de incident depaseste cu mult costul implementarii unor masuri preventive. Timpul pierdut de angajati, imposibilitatea de a factura sau de a procesa comenzi, plus riscul de a incalca GDPR prin expunerea datelor cu caracter personal pot duce la falimentul unei firme mici care nu dispune de proceduri de backup si refacere in caz de dezastru.
#Recomandari concrete
Din experienta noastra, cele mai multe brese pot fi prevenite prin educatie si configurari stricte:
- Instruirea personalului: Creati o regula simpla: echipa IT din firma, sau partenerul extern care se ocupa de mentenanta (cum este echipa Activ.NET), nu va cere niciodata controlul total al PC-ului printr-un apel Teams nesolicitat, fara o confirmare prealabila.
- Limitarea accesului extern in Teams: Daca folositi Microsoft 365, configurati politicile de Teams pentru a bloca comunicarea cu domenii externe necunoscute. In centrul de administrare, setati politica astfel incat utilizatorii externi sa fie obligatoriu plasati in 'lobby' pana la aprobarea manuala.
- Dezactivarea accesului remote: Blocati prin GPO (Group Policy) posibilitatea utilizatorilor de a instala aplicatii precum AnyDesk sau TeamViewer. Daca aveti nevoie de suport, apelati la servicii IT pentru firme gestionate centralizat, unde conexiunile sunt securizate si monitorizate.
#Concluziile noastre
Atacatorii nu mai cauta doar gauri in software-ul serverelor, ci cauta gauri in 'software-ul uman' – adica in obisnuinta noastra de a fi de ajutor. La Activ.NET, subliniem constant ca securitatea cibernetica nu este un produs pe care il cumperi o data, ci un proces continuu. Indiferent cat de bine este securizata reteaua cu firewall-uri si antivirusi, o singura greseala a unui utilizator poate deschide portile. Nu asteptati un incident pentru a va verifica securitatea. Verificati configuratiile actuale ale solutiilor de comunicare si asigurati-va ca angajatii stiu exact care este procedura oficiala de suport IT in firma voastra.
Inspirat din: BleepingComputer
Cum a fost scris articolul: documentat cu asistență AI pe baza surselor de mai sus.