Conecta con nosotros

Noticias

Microsoft Teams como puerta de entrada de ataques de phishing y malware

Publicado el

Microsoft Teams como puerta de entrada de ataques de phishing y malware 65

En el último estudio formulado por Proofpoint, se ha detectado que Microsoft 365 registró más de 450 millones de sesiones maliciosas durante la segundad mitad de 2022, siendo Microsoft Teams una de las diez aplicaciones más afectadas, con casi el 40% de accesos no autorizados. Esta herramienta podría estar siendo utilizada por los ciberdelincuentes para tener acceso a los datos que las empresas alojan en la nube, siguiendo para ellos diferentes técnicas.

La metodología más común que están siguiendo los hackers consiste en la manipulación de las pestañas por defecto de Team. Mediante solicitudes no documentadas a las API de Teams, las pestañas pueden reordenarse y renombrarse, cambiándose las originales por unas nuevas personalizadas.

A través de la aplicación ‘Sitio web’ pueden anclar una página como una pestaña en la parte superior de un canal de Teams, como si fuese el apartado de ‘Archivos’. A partir de ahí, podrá cambiar su nombre y posición para que sirviese de gancho al usuario y lo recondujese a un sitio malicioso. El daño se materializaría al hacerse pasar por una página de inicio de sesión de Microsoft 365 o provocando la descarga automática de un archivo nocivo en el dispositivo. El phishing es la estrategia más extendida.

La vulnerabilidad de Microsoft Teams es el resultado de la evolución de la digitalización y de las nuevas técnicas y herramientas que se ponen a disposición de las empresas y usuarios particulares. Es tal la expansión de su uso, que los hackers se aprovechan de los fallos de seguridad que presentan para incluir funcionalidades peligrosas y extraer el máximo beneficio. El 60% de los usuarios de Microsoft 365 han sufrido durante 2022 al menos un incidente relacionado con la ciberseguridad que ha afectado a su cuenta de usuario de Teams.

Otros métodos de ataque

Los ciberdelincuentes pueden sincronizar Microsoft Teams con el calendario de un usuario para ver sus reuniones programadas. De este modo, podrán acceder y crear un enlace nuevo que invitase a la reunión o a descargar la aplicación de Teams. Las invitaciones se manipulan mediante solicitudes a la API cambiando los enlaces para ser remitidos a páginas de phishing o de alojamiento de malware.

Los hipervínculos en los chats también pueden ser manipulados mediante la API. Así pues, el link no variará aparentemente aunque la URL que se esconde tras ella sí que se verá modificada. Un script podría cambiar muchas URLs en cuestión de segundos mediante técnicas de ingeniería social y enviar nuevos mensajes para incitar a los usuarios a hacer clic en ese enlace que ha sido manipulado.

Así mismo, Microsoft presentó recientemente la cuarta edición de su informe trimestral sobre amenazas ‘Cyber Signals’, en el cual recogía un aumento de la actividad cibercriminal en el correo electrónico empresarial (BEC) en torno al 38% entre 2019 y 2022. Todo ello supone a las organizaciones un coste de cientos de millones de dólares al año. En el último año, la Unidad de Delitos Digitales (DCU) de Microsoft detectó 35 millones de intentos BEC, lo que supone una media de 156.000 intentos diarios.

La mejor defensa

Desde Prooftpoint se recomienda a las empresas una concienciación de sus trabajadores y usuarios sobre las diferentes tipologías de riesgos existentes, identificándolas y aislando los inicios de sesión más peligrosos. La clave pasará por limitar el uso de Microsoft Teams a un uso exclusivamente interno.

Para defender a una organización frente a los riesgos de phishing y malware basados en Microsoft Teams lo más importante, según apunta Proofpoint, es la conciencia de seguridad de los usuarios y restringir el acceso, evitando que estuviese abierto a la comunicación con otras organizaciones.

Otros consejos que se brindan son establecer seguridad en la nube y seguridad web. De este modo, se identificarán a los atacantes que acceden a Teams dentro del entorno cloud de un modo preciso, ofreciendo visibilidad a la aplicación de inicio de sesión afectada. También se aislarán las sesiones potencialmente maliciosas iniciadas por vínculos incluidos en los mensajes de Teams. De igual modo, se invita a adoptar el modelo Zero Trust Security y estrategias sólidas que administren actualizaciones de seguridad, de antivirus y de autenticación.

Lo más leído