Zum Inhalt springen
Zurück zum Blog Threat Intelligence

Phishing-Gefahr in Microsoft Teams: Aktive Ausnutzung einer Schwachstelle

SecTepe Redaktion
|
|
7 Min. Lesezeit

Microsoft Teams hat sich als zentrale Kommunikationsplattform in Unternehmen weltweit etabliert – mit über 300 Millionen aktiven Nutzern monatlich. Doch gerade diese weite Verbreitung macht Teams zu einem attraktiven Ziel für Cyberkriminelle. Sicherheitsforscher haben festgestellt, dass eine Schwachstelle in der Handhabung externer Nachrichten aktiv für raffinierte Phishing-Kampagnen ausgenutzt wird. In diesem Artikel analysieren wir die Bedrohung und zeigen konkrete Schutzmaßnahmen auf.

Die Schwachstelle im Detail

Microsoft Teams ermöglicht standardmäßig die Kommunikation zwischen verschiedenen Organisationen – ein Feature, das für die Zusammenarbeit mit externen Partnern, Kunden und Lieferanten gedacht ist. Die Schwachstelle liegt darin, wie Teams mit Nachrichten von externen Benutzern umgeht. Obwohl externe Nachrichten mit einem Hinweis versehen werden, ist dieser leicht zu übersehen. Angreifer nutzen dies aus, indem sie sich als vertrauenswürdige Partner, IT-Support oder sogar als interne Mitarbeiter ausgeben.

Besonders problematisch ist, dass Angreifer über Teams-Nachrichten schädliche Dateien, Links und sogar ganze Phishing-Seiten verbreiten können. Da Mitarbeiter Teams als „sicheren" internen Kommunikationskanal wahrnehmen – im Gegensatz zu E-Mails, bei denen sie typischerweise wachsamer sind – ist die Erfolgsquote solcher Angriffe beunruhigend hoch.

Typische Angriffsszenarien

Szenario 1: Gefälschte IT-Support-Nachrichten

Angreifer erstellen Microsoft-365-Konten, die dem IT-Support des Zielunternehmens ähneln, und senden Nachrichten über Teams mit dringenden Sicherheitswarnungen. Die Nachricht enthält einen Link zu einer gefälschten Microsoft-Anmeldeseite, über die Zugangsdaten abgegriffen werden. Da die Nachricht über Teams kommt, gehen viele Mitarbeiter davon aus, dass sie legitim ist.

Szenario 2: Malware über Teams-Chats

In einer weiteren Variante versenden Angreifer Dateien über Teams, die als harmlose Dokumente getarnt sind – beispielsweise als Projektpläne, Verträge oder Meeting-Notizen. Diese Dateien enthalten jedoch Malware, die beim Öffnen ausgeführt wird. Da Teams-Dateien häufig als vertrauenswürdig eingestuft werden, umgehen sie oft die Vorsichtsmaßnahmen, die Mitarbeiter bei E-Mail-Anhängen anwenden würden.

Szenario 3: Missbrauch von Teams-Tabs und Konnektoren

Fortgeschrittene Angreifer nutzen die Möglichkeit, benutzerdefinierte Tabs in Teams-Kanälen zu erstellen, um Phishing-Seiten direkt in die Teams-Oberfläche einzubetten. Dies ist besonders gefährlich, da die Phishing-Seite innerhalb der vertrauenswürdigen Teams-Umgebung angezeigt wird und die URL-Leiste des Browsers nicht sichtbar ist.

Warum diese Angriffe so gefährlich sind

Die Effektivität dieser Angriffe beruht auf mehreren Faktoren, die sie von klassischem E-Mail-Phishing unterscheiden:

  • Vertrauensvorschuss: Mitarbeiter betrachten Teams als internen, sicheren Kanal und sind weniger misstrauisch als bei E-Mails.
  • Echtzeit-Kommunikation: Die Chat-Natur von Teams erzeugt Dringlichkeit und ermutigt zu schnellen, unüberlegten Reaktionen.
  • Geringere Filterung: Während E-Mails typischerweise durch mehrere Sicherheitsebenen gefiltert werden, sind die Schutzmechanismen für Teams-Nachrichten oft weniger ausgereift.
  • Schwierige Erkennung: Teams-basierte Angriffe sind in den Sicherheitslogs schwerer zu identifizieren als E-Mail-basierte Phishing-Versuche.

Konkrete Schutzmaßnahmen

Administrative Maßnahmen

  • Externe Kommunikation einschränken: Überprüfen Sie, ob die Kommunikation mit externen Teams-Benutzern tatsächlich erforderlich ist. In den Teams-Admin-Einstellungen können Sie den externen Zugriff auf bestimmte Domänen beschränken oder komplett deaktivieren.
  • Conditional Access Policies: Implementieren Sie Conditional-Access-Richtlinien, die den Zugriff auf Teams basierend auf Gerätecompliance, Standort und Risikobewertung steuern.
  • Microsoft Defender for Office 365: Aktivieren Sie Safe Links und Safe Attachments auch für Teams-Nachrichten, um schädliche Links und Dateien automatisch zu erkennen und zu blockieren.
  • Audit-Logging: Stellen Sie sicher, dass umfassendes Logging für Teams-Aktivitäten aktiviert ist, insbesondere für externe Kommunikation, Dateifreigaben und Gästeaktivitäten.

Awareness-Maßnahmen

  • Mitarbeiterschulungen erweitern: Integrieren Sie Teams-spezifische Phishing-Szenarien in Ihre Awareness-Schulungen. Mitarbeiter müssen verstehen, dass auch Teams-Nachrichten Phishing-Angriffe sein können.
  • Meldeprozesse etablieren: Stellen Sie sicher, dass Mitarbeiter wissen, wie sie verdächtige Teams-Nachrichten melden können. Ein einfacher, klar kommunizierter Meldeprozess erhöht die Wahrscheinlichkeit, dass Angriffe frühzeitig erkannt werden.
  • Externe-Nachricht-Banner beachten: Sensibilisieren Sie Mitarbeiter für den externen Nachrichtenhinweis in Teams und die Bedeutung dieser Kennzeichnung.

Fazit

Die Ausnutzung von Microsoft Teams für Phishing-Angriffe ist ein Beispiel dafür, wie Angreifer das Vertrauen der Nutzer in etablierte Plattformen gezielt missbrauchen. Unternehmen müssen ihre Sicherheitsstrategie anpassen und Teams als potenziellen Angriffsvektor berücksichtigen. Die Kombination aus technischen Schutzmaßnahmen, administrativen Konfigurationen und gezielten Awareness-Schulungen bietet den besten Schutz. SecTepe unterstützt Unternehmen bei der Absicherung ihrer Microsoft-365-Umgebung und führt spezialisierte Phishing-Simulationen durch, die auch Teams-basierte Angriffsvektoren abdecken.

Verwandte Artikel

Awareness

Social Engineering: Die psychologische Dimension der Cyberbedrohungen

 Awareness

Die Wichtigkeit von Cybersecurity-Training verstehen
Alle Artikel ansehen