Cybercriminelen gebruiken Microsoft Teams om contact te leggen met gebruikers
Uit nieuw onderzoek is gebleken dat cybercriminelen een nieuwe methode hanteren waarbij ze gebruikers eerst overladen met spam e-mails, vaak wel duizenden, en daarna via Microsoft Teams zich voordoen als IT-support om de gebruikers zogenaamd te helpen.
Spam
In mei hebben onderzoekers van Rapid7 en ReliaQuest resultaten gepubliceerd waarbij er is waargenomen dat gebruikers werden overladen met e-mails, vaak in de duizenden om ze te overwelmen. Deze berichten waren vaak niet eens echt spam, maar voornamelijk nieuwsbrieven, bevestigingen van registraties et cetera.
Contact met de gebruiker
Na dat de inbox van de gebruiker overspoeld werd met berichten namen de criminelen contact op met de gebruiker door ze te bellen, maar in nieuw onderzoek gepubliceerd in oktober namen deze onderzoekers ook waar dat er contact werd opgenomen door middel van Microsoft Teams.
De aanvallers maken hierbij gebruik van legitiem ogende Microsoft Teams accounts, vaak met domeinnamen als:
- securityadminhelper.onmicrosoft[punt]com
- supportserviceadmin.onmicrosoft[punt]com
- supportadministrator.onmicrosoft[punt]com
- cybersecurityadmin.onmicrosoft[punt]com
Door een weergavenaam in te stellen wat de term “helpdesk” of iets in die strekking bevat probeerden ze gebruikers om de tuin te leiden. Hierbij proberen aanvallers remote toegang tot het systeem te krijgen door bijvoorbeeld AnyDesk of de Microsoft Quick Assist tool te installeren waarna ze zich verder door het netwerk bewogen om hun toegang te verbreden.
Maatregelen
Belangrijke maatregelen om hierbij te nemen zijn onder andere:
- Gebruikers bewust maken met een awareness training
- Beleid en logging binnen Teams waardoor externe chats niet zomaar kunnen en gelogd kunnen worden
- Degelijke endpoint security waarmee de tools voor remote toegang geblokkeerd kunnen worden.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- HybridPetya: wat je moet weten over deze nieuwe Petya/NotPetya-copycat met Secure Boot-bypassIn de wereld van ransomware en bootkits is het zelden rustig. Onlangs ontdekte ESET Research een malwarevariant die oplaait met eigenschappen van […]
- NPM‑aanval toont kwetsbaarheid van software‑supply‑chainsHet begon met iets ogenschijnlijk onschuldigs: een phishing‑mail. Iets waar je misschien niet meteen achter zit, maar juist dat geeft het verraderlijke […]
- Autonome AI-aanvallen: dichterbij dan we denkenDe discussie rond AI in cybersecurity gaat vaak over tools die verdedigers helpen sneller te reageren. Maar er is ook een andere […]
- Wat is een man‑in‑the‑middle‑aanval?Wat is een man‑in‑the‑middle‑aanval? Een aanvaller gaat als tussenstation fungeren tussen de gebruiker en de legitieme e‑maildienst. Je denkt in te loggen op een vertrouwde pagina, maar in werkelijkheid communiceer je met de aanvaller. Zo onderschept hij je inloggegevens.
- Sterke toename van ‘ClickFix’-aanvallenDe digitale wereld is continu in beweging, en helaas geldt dat ook voor cybercriminelen. In 2025 zien we een opvallende toename van een nieuwe vorm van social engineering: ClickFix.