PiChris - Fotolia

Microsoft Teams: Phishing-Angriffe und Schutzmaßnahmen

Die Bedrohung Phishing wird meist nur mit dem Angriffsvektor E-Mail in Verbindung gebracht. Die Risiken durch Phishing über Microsoft Teams sind jedoch nicht zu vernachlässigen.

Anwender von Microsoft Teams gehen oft davon aus, dass es sich bei der Kollaborationsplattform um eine interne Unternehmensanwendung handelt und sie daher immun gegen Angriffe ist. Dies ist jedoch nicht der Fall. Microsoft Teams ist ein neuer Angriffsvektor, bei dem Bedrohungsakteure mit Malware versehene Phishing-Nachrichten versenden, um Daten und Anmeldeinformationen von Benutzern zu stehlen.

Im Folgenden werden Beispiele für bekannt gewordene Microsoft-Teams-Phishing-Kampagnen und deren Auswirkungen vorgestellt. Zudem erläutern wir, wie IT-Teams in Unternehmen ihren Schutz gegen diese Art von Phishing-Angriffen verbessern können.

Beispiele für größere Phishing-Angriffe auf Microsoft Teams

Microsoft hat die folgenden größeren Phishing-Angriffe identifiziert, die auf die Teams-App abzielen.

Midnight Blizzard

Ende 2023 veröffentlichte Microsoft einen Blogbeitrag, in dem darauf hingewiesen wurde, dass der als Midnight Blizzard bekannte Bedrohungsakteur - der von den Vereinigten Staaten als russische staatlich unterstützte Gruppe identifiziert wurde - Phishing-Kampagnen auf Teams startete, um Anmeldedaten von Benutzern zu stehlen.

Bei dem komplexen Angriff wurde Teams über zuvor kompromittierte Microsoft-365-Tenants infiltriert und neue Domänennamen eingerichtet, die wie legitime technische Supportorganisationen aussahen.

Sobald sie diese Schritte abgeschlossen hatten, versuchten die böswilligen Akteure mit Social-Engineering-Taktiken, die Benutzer dazu zu bringen, ihre Anmeldedaten über Teams-Nachrichten zu übermitteln, was den Zugriff auf sensible Daten ermöglichen würde.

Storm-0324

Ein zweiter größerer Angriff auf Teams kam von dem Bedrohungsakteur Storm-0324. In einem weiteren Blogbeitrag erklärte Microsoft, dass die Gruppe beobachtet wurde, wie sie Phishing-Köder über Microsoft Teams-Chats mit Links zu bösartigen Dateien auf SharePoint versandte. Die Gruppe hatte es auf Unternehmen abgesehen, die Teams nutzen und auf ihren Plattformen den externen Zugriff aktiviert haben.

Trotz aller zusätzlichen Schutzmaßnahmen, die Microsoft für Teams entwickelt hat, suchen Cyberkriminelle ständig nach Möglichkeiten, diese zu umgehen.

Nach Angaben von Microsoft fungiert Storm-0324 als Verteiler von Payloads für Ransomware-Betreiber. In der Vergangenheit hat die Gruppe häufig Nachrichten verwendet, die wie unbedrohliche, standardmäßige Zahlungs- und Rechnungsbenachrichtigungen von beliebten Lösungen, wie DocuSign und QuickBooks, aussehen. Bösartige Links in diesen Nachrichten laden Ransomware-Nutzdaten auf die Systeme der Zielpersonen herunter.

Sich vor Phishing-Angriffen auf Microsoft Teams schützen

Microsoft listet eine Reihe von Empfehlungen für Teams-Phishing-Angriffe auf, die Unternehmen anwenden sollten, um das Risiko einer Kompromittierung zu mindern und zu reduzieren. Zu den Abwehrtechniken gehören die folgenden:

  • Setzen Sie Phishing-resistente Methoden zur Benutzerauthentifizierung ein.
  • Erzwingen Sie spezifische Zugriffskontrollkombinationen, um die Authentifizierungsmethoden einzuschränken, die verwendet werden, bevor ein Benutzer Zugriff auf die digitalen Ressourcen eines Unternehmens erhalten kann.
  • Aktivieren Sie die Microsoft-365-Überwachung, um Einblick in potenzielle Phishing-Versuche zu erhalten.
  • Beschränken Sie den Ressourcenzugriff auf bekannte Geräte.
  • Implementieren Sie Microsofts App-Kontrolle mit bedingtem Zugriff und Cloud-Schutz in Microsoft Defender for Cloud Apps. So kann eine Multifaktor-Authentifizierung für Datei-Downloads vorgeschrieben werden und der Einsatz von KI angewendet werden, um unbekannte oder verdächtige Bedrohungen zu erkennen und zu verhindern.
  • Konfigurieren Sie in Microsoft Defender für Office 365 die Funktion „Sichere Links“ so, dass sie bei jedem Link eine Reputationsprüfung durchführt, wenn ein Benutzer darauf klickt, bevor er den Zugriff gewährt. Wenn die Software den Link für verdächtig hält, wird er deaktiviert, anstatt ihn zu öffnen.
  • Prüfen und begrenzen Sie Dienstkonten auf Administratorenebene.

Trotz der zusätzlichen Schutzmaßnahmen, die Microsoft für Teams entwickelt hat, suchen Cyberkriminelle ständig nach Möglichkeiten, diese zu umgehen. Deshalb ist die Aufklärung der Benutzer über Phishing- und Social-Engineering-Aktivitäten und darüber, wie sie verdächtiges Verhalten innerhalb von Teams erkennen und vermeiden können, nach wie vor von entscheidender Bedeutung.

Microsoft hat beispielsweise mehrere Benutzerbenachrichtigungen implementiert, die auf externe Kommunikation hinweisen und die Benutzer warnen, besonders vorsichtig zu sein, was sie mit nicht-internen Benutzern teilen. Diese Benachrichtigungen bleiben jedoch oft unbemerkt, es sei denn, die Anwender sind entsprechend geschult.

Erwägen Sie auch, die Benutzer von Teams in den folgenden Bereichen zu schulen:

  • Wie man Anzeichen für mögliche Phishing-Angriffe auf Microsoft Teams erkennt.
  • Wie man externe Nutzer sperrt, wenn sie verdächtige Aktivitäten bemerken.
  • Wie man regelmäßig seine Anmeldeaktivitäten überprüft und kontrolliert, um verdächtige Anmeldeversuche zu erkennen und die Sicherheitsteams entsprechend zu informieren.

Die Zukunft von Microsoft-Teams-Phishing

Viele Unternehmen beginnen, Teams mehr zu nutzen als Standard-E-Mails. Während das Niveau der Phishing-Aufklärung für E-Mail fest etabliert ist und zahlreiche Schulungen zur Verfügung stehen, gilt das für die Bedrohung unter Teams keineswegs.

Für Unternehmen, die in diesem Bereich Defizite haben, ist es jetzt an der Zeit, Dokumentation und Schulungen für Mitarbeiter zu erstellen, damit diese verdächtiges Verhalten von Teams besser erkennen, vermeiden und die IT-Abteilung darüber informieren können. Auf diese Weise lässt sich das Gesamtrisiko eines Unternehmens für Malware-Infektionen und den Diebstahl von Anmeldedaten erheblich senken.

Erfahren Sie mehr über Bedrohungen