資安業者Palo Alto Networks旗下Unit 42指出,攻擊者利用Microsoft Teams等企業協作工具發動社交工程與網釣攻擊,藉由員工對內部溝通平臺的信任,假冒IT支援人員或服務供應商誘騙受害者。
研究人員舉例,攻擊者可能透過Teams傳送外部聊天邀請,聲稱使用者帳號出現異常,要求對方核准多因素驗證(MFA)請求,或依指示重設憑證。由於訊息出現在Teams而非電子郵件,員工可能降低戒心,因為即使系統顯示對方為外部使用者,仍可能接受對話並依指示操作。
這類手法並非個案。Palo Alto Networks曾揭露Cloaked Ursa(APT29)利用遭入侵的帳號,透過Teams散布惡意連結,將使用者引導至仿冒Microsoft登入頁面的釣魚網站。Google Cloud旗下Mandiant追蹤的UNC6692,也曾透過Teams假冒IT服務臺人員,誘導目標員工接受來自外部的對話(chat)邀請。
在防護措施上,Unit 42與微軟建議企業收緊Teams外部通訊設定,只允許可信任網域聯繫內部員工,並阻止未受管理或個人版Teams帳號主動發起對話;若涉及遠端支援連線,也應搭配條件式存取機制,納入裝置合規性檢查或身分驗證要求。
