Les utilisateurs de Microsoft Teams pensent souvent que cette plateforme de collaboration interne est à l'abri des compromissions. Ce n'est pas le cas. Microsoft Teams devient une nouvelle cible pour les attaques, avec des acteurs malveillants envoyant des messages de phishing chargés de logiciels malveillants pour voler des données et des identifiants de connexion, tels les infostealers.

Pour s'en convaincre, considérons quelques campagnes de phishing sur Teams qui se sont distinguées par le profil des victimes et des assaillants impliqués.

Exemples d'attaques majeures de phishing sur Microsoft Teams Midnight Blizzard Fin 2023, Microsoft a publié un billet de blog indiquant que le groupe d'acteurs malveillants Midnight Blizzard, identifié comme soutenu par l'État russe, lançait des campagnes de phishing sur Teams pour voler des identifiants d'utilisateurs. Cette attaque complexe impliquait l'infiltration de Teams via des tenants Microsoft 365 déjà compromis et la création de nouveaux noms de domaine ressemblant à ceux d'organisations de support technique légitimes. Les acteurs malveillants utilisaient ensuite des tactiques d'ingénierie sociale pour tenter de tromper les utilisateurs et d'obtenir leurs identifiants via des messages Teams. Storm-0324 Une autre attaque majeure provenait du groupe Storm-0324. Microsoft a observé ce groupe envoyant des leurres de phishing via des chats Microsoft Teams avec des liens vers des fichiers malveillants sur SharePoint. Le groupe ciblait les entreprises utilisant Teams avec un accès externe activé. Storm-0324 agit comme un distributeur de charges utiles pour les opérateurs de ransomware, utilisant des messages de notifications de paiement et de facturation apparemment légitimes pour inciter les victimes à télécharger des charges utiles.

Comment se défendre contre les attaques de phishing sur Microsoft Teams Microsoft recommande diverses techniques pour atténuer et réduire le risque de compromission : Déployer des méthodes d'authentification résistantes au phishing.

Appliquer des contrôles d'accès spécifiques pour restreindre les méthodes d'authentification utilisées avant qu'un utilisateur ne puisse accéder aux ressources numériques de l'entreprise.

Activer l'audit Microsoft 365 pour obtenir une visibilité sur les tentatives de phishing potentielles.

Limiter l'accès aux ressources aux appareils professionnels connus.

Implémenter les contrôles d'accès conditionnel et les protections dans Microsoft Defender pour les applications cloud, nécessitant l'authentification à facteurs multiples (MFA) pour les téléchargements de fichiers et utilisant l'IA pour identifier et prévenir les menaces inconnues ou suspectes.

Configurer la fonctionnalité Safe Links dans Microsoft Defender pour Office 365 pour vérifier la réputation de chaque lien avant de permettre l'accès.

Auditer et limiter le nombre de comptes de service de niveau administrateur. Malgré les protections ajoutées par Microsoft pour Teams, les cybercriminels cherchent constamment des moyens de contournement. C'est pourquoi l'éducation des utilisateurs sur les activités de phishing et d'ingénierie sociale - et comment les identifier et les éviter dans Teams - reste cruciale. Par exemple, Microsoft a implémenté plusieurs notifications pour identifier les communications externes et avertir les utilisateurs d'être prudents quant à ce qu'ils partagent avec des utilisateurs non internes. Ces notifications passent souvent inaperçues, sauf si les utilisateurs ont reçu la formation appropriée.