Известната група за ransomware атаки Black Basta е разширила тактиките си за социално инженерство с чат съобщения в Microsoft Teams и злонамерени QR кодове. Чрез тях тя улеснява първоначалния достъп до таргетираните системи, за да може впоследствие да получи неоторизиран достъп до чувствителни данни на организациите.
Според компанията за киберсигурност ReliaQuest новият тип фишинг атака протича така:
- нападателите добавят целевите потребители към чатове с външни акаунти, използващи Entra ID. Те са маскирани като служители на отдела за поддръжка или администратори;
- в рамките на тези чатове целевите потребители получават QR кодове. Домейните, използвани за тази фишинг дейност, са пригодени да съответстват на конкретната организация;
- QR кодовете насочват потребителите към зловредна инфраструктура. Това полага основите за последващи техники за социално инженерство и внедряване на инструменти за дистанционно наблюдение и управление.
За да се защитите от тази развиваща се заплаха:
- деактивирайте комуникацията от външни потребители в рамките на Microsoft Teams или я ограничете до определени доверени домейни;
- въведете агресивни политики за борба със спама в рамките на инструментите за сигурност на електронната поща;
- активирайте задължителната регистрация за Microsoft Teams, особено за функцията ChatCreated;
- инструктирайте служителите си да бъдат бдителни срещу потенциални кампании за социално инженерство;
- осигурете постоянно обучение и програми за повишаване на осведомеността относно най-новите тактики за фишинг.