Slack, MS-Teams und Co. erfreuen sich großer Beliebtheit für die interne Unternehmenskommunikation. In letzter Zeit werden sie jedoch vermehrt für das Teilen von Dateien in der Cloud genutzt, was sie zu einem attraktiven Ziel für potenzielle Angreifer macht. Immer wieder lassen sich daher Social Engineering-Aktivitäten beobachten, die auf die Übernahme solcher Accounts abzielen.
Sicherheitsforscher der Firma Truesec haben eine Phishing-Kampagne aufgedeckt, bei der die DarkGate Loader-Malware über externe Microsoft Teams Nachrichten verbreitet wurde. Die Phishing-Nachrichten gaben vor, von der Personalabteilung zu stammen und kündigten Änderungen in den Urlaubsplänen der Mitarbeiter an. Die Empfänger wurden gebeten, eine angehängte ZIP-Datei zu öffnen, um zu überprüfen, ob ihre Urlaubspläne betroffen waren. Truesec betont, dass die Angriffe vereitelt wurden, weil die betroffenen Mitarbeiter erkannten, dass die Nachrichten verdächtig waren.
Ein wichtiger Grund dafür war, dass die Empfänger zuvor eine Sicherheitsschulung absolviert hatten. Leider waren die aktuellen Sicherheitsfunktionen von Microsoft Teams wie „Safe Attachments“ oder „Safe Links“ nicht in der Lage, diesen Angriff zuvor zu erkennen oder zu blockieren. Derzeit ist die einzige Möglichkeit, diesen Angriffsvektor in Microsoft Teams zu verhindern, die Beschränkung von Chat-Anfragen auf bestimmte externe Domänen. Allerdings könnte dies geschäftliche Auswirkungen haben, da alle vertrauenswürdigen externen Domänen von einem IT-Administrator auf eine Whitelist gesetzt werden müssen.
Security Awareness Schulungen sind von entscheidender Bedeutung, damit Unternehmen ihre Mitarbeiter sensibilisieren, Social Engineering-Angriffe zu erkennen und Schaden fernzuhalten. Ein wichtiger Aspekt ist vor allem die Erkennung von Phishing. Dabei helfen simulierte Phishing E-Mails mit Vorlagen, die sich an echten Beispielen orientieren. Laut den regelmäßig aktualisierten vierteljährlichen Phishing Reports sind, wie am Beispiel der Sicherheitsforscher aufgezeigt, vor allem HR- und Personal-Betreffzeilen bei den Angreifern beliebt.