Cybercriminelen maken steeds vaker misbruik van samenwerkingsplatformen zoals Microsoft Teams om organisaties binnen te dringen. In plaats van traditionele phishingmails benaderen aanvallers hun doelwitten direct via Teams, waarbij zij zich voordoen als IT-medewerkers of helpdeskpersoneel. Het doel: gebruikers overtuigen om toegang te geven tot hun computer.
Microsoft Teams
Deze aanpak blijkt effectief, omdat het contactmoment sterk lijkt op reguliere IT-ondersteuning. Zodra een medewerker ingaat op het verzoek, vragen aanvallers vaak om een externe sessie te starten via legitieme tools zoals Quick Assist. Daarmee krijgen zij directe toegang tot het systeem van het slachtoffer.
Na deze eerste toegangsfase zetten aanvallers doorgaans vertrouwde, door leveranciers ondertekende software in, gecombineerd met eigen kwaadaardige modules. Op die manier kunnen zij ongemerkt schadelijke code uitvoeren zonder direct argwaan te wekken. Vervolgens bewegen zij zich binnen het netwerk via standaard beheertools, zoals Windows Remote Management (WinRM), om toegang te krijgen tot kritieke systemen, waaronder domeincontrollers.
Aanvullende software
In geobserveerde aanvallen wordt daarna vaak aanvullende software geïnstalleerd, waaronder commerciële remote management tools en datatransferprogramma’s zoals Rclone. Daarmee kunnen aanvallers zich verder verspreiden binnen de organisatie en gevoelige bedrijfsgegevens verzamelen en voorbereiden voor overdracht naar externe cloudopslag.
Wat deze aanvalsmethode bijzonder maakt, is dat vrijwel uitsluitend gebruik wordt gemaakt van legitieme software en bestaande IT-protocollen. Hierdoor vallen de activiteiten minder snel op binnen reguliere bedrijfsprocessen. De aanval verloopt grotendeels via handelingen die op het eerste gezicht normaal lijken, zoals een IT-ondersteuningssessie of systeembeheeractie.
Beveiligingsmaatregelen
Hoewel Microsoft Teams verschillende beveiligingsmaatregelen bevat, zoals waarschuwingen bij externe contacten en indicatoren voor mogelijke phishing, blijkt de menselijke factor doorslaggevend. Het risico ontstaat vooral op het moment dat gebruikers waarschuwingen negeren en zelf toestemming geven voor vervolgacties, zoals het starten van een remote sessie.
Volgens beveiligingsexperts is deze verschuiving naar samenwerkingstools een zorgwekkende ontwikkeling. Doordat de aanval begint met een ogenschijnlijk legitieme interactie, wordt de drempel voor misleiding lager. Bovendien kunnen aanvallers zich na de initiële toegang snel door het netwerk bewegen en langdurige aanwezigheid opbouwen.
Technische beveiliging
Organisaties doen er daarom goed aan om niet alleen technische beveiliging te versterken, maar ook te investeren in bewustwording bij medewerkers. Juist in een tijd waarin digitale samenwerking centraal staat, blijkt vertrouwen in interne communicatiekanalen een kwetsbare schakel.