Microsoft Teams steeds vaker gebruikt bij helpdeskfraude en datadiefstal

In dit artikel:

Microsoft waarschuwt dat cybercriminelen steeds vaker Microsoft Teams gebruiken om zich voor te doen als helpdeskmedewerkers en zo toegang tot bedrijfsnetwerken te krijgen en data te stelen. Via een bericht in Teams vragen de aanvallers slachtoffers een beveiligingsupdate uit te voeren of hun account te verifiëren, waarna ze verzoeken een remote supporttool (bijv. Quick Assist) te starten om op afstand controle te krijgen.

Zodra ze binnen zijn, voeren de aanvallers commando’s uit om rechten en netwerkstructuur in kaart te brengen, plaatsen kwaadaardige DLL-bestanden (bijv. in ProgramData) en benutten DLL-sideloading via ondertekende applicaties. Voor laterale beweging gebruiken ze Windows Remote Management (WinRM), installeren extra beheer‑software en sturen vervolgens gegevens naar externe cloudopslag met tools als Rclone.

Microsoft adviseert externe Teams‑berichten met wantrouwen te behandelen, de ingebouwde beveiligingswaarschuwingen voor communicatie van buiten de organisatie serieus te nemen, het gebruik van remote supporttools te beperken of te monitoren en WinRM alleen vanaf vertrouwde systemen toe te staan.