Skydda dina samarbetsytor mot device-code phishing

Microsoft Teams blir en alltmer populär måltavla för hotaktörer eftersom mycket av vårt samarbete med både interna och externa användare sker där. På senare tid har vi också sett en ökad grad av det relativt nya begreppet device-code phishing. Men vad innebär denna typ av attacker? Och vilka åtgärder kan du tillämpa för att skydda dig och din verksamhet?

Microsoft har nyligen identifierat en ny, oroväckande metod från cyberhotaktören som är känd under namnet Storm-2372. Denna grupp har implementerat en sofistikerad phishing-teknik kallad "device-code phishing" som är specifikt utformad för att stjäla inloggningstokens från användare. Attacken representerar en utveckling inom social engineering-taktiker som säkerhetsledare bör vara medvetna om.

Attackmetodiken kretsar kring falska Microsoft Teams-mötesinbjudningar. När användare tar emot dessa inbjudningar, som är utformade precis som vanliga mötesbokningar, guidas de genom vad som verkar vara legitima autentiseringsprocesser. Dessa processer dirigerar i själva verket användaruppgifter och autentiseringstokens direkt till angriparna. När detta lyckas ger det angriparna tillgång till användarkonton, känslig företagsdata och olika företagsresurser, samt e-postkommunikation och fillagringssystem.

”När användare tar emot falska Microsoft Teams-inbjudningar guidas de genom vad som verkar vara legitima autentiseringsprocesser.”

Skapa varaktig medvetenhet kring potentiella hot
Kulturella tillvägagångssätt har stor betydelse för att skapa varaktig medvetenhet. Främja ett "säkerhet först”-tankesätt inom hela organisationen och premiera anställda som framgångsrikt identifierar och rapporterar potentiella hot. Ta bort skuld från säkerhetsincidenter för att uppmuntra rapportering och integrera diskussioner om säkerhetsmedvetenhet i regelbundna teammöten för att hålla vaksamheten högt på agendan.

Utbildning och vaksamhet är nyckeln för att skydda verksamheten
Utbildning är en nyckelfaktor för att förhindra device-code phishing. Se till att det finns tydliga rutiner för att rapportera misstänkta aktiviteter och sprid bästa praxis inom organisationen. Uppmana anställda att alltid dubbelkolla oväntade mötesinbjudningar via en separat kanal och att noggrant granska avsändaruppgifter innan de accepterar dem. Varna för brådskande eller ovanliga förfrågningar och betona vikten av att snabbt rapportera misstänkt kommunikation till säkerhetsteamet.

”Uppmana anställda att alltid dubbelkolla oväntade mötesinbjudningar och att noggrant granska avsändaruppgifter innan de accepterar dem.”

Tekniska åtgärder för att minimera riskerna
Det finns flera tekniska åtgärder som kan tillämpas för att minska möjligheterna för denna typ av attack att lyckas. En mycket kritisk aktivitet att se över redan nu är att blockera device-code-autentisering genom Conditional Access för samtliga användare förutom de som absolut måste nyttja denna typ av autentisering.

Därutöver bör du och din organisation komplettera med riskbaserade policyer i Entra ID Protection för att upptäcka och åtgärda ovanliga autentiseringsaktiviteter. Konfigurera också sessionskontroller för att begränsa potentiell skada om tokens från sessioner komprometteras. Defender for Office 365 kan integreras med Teams för att möjliggöra Safe Links och Safe Attachments specifikt för Teams-konversationer, vilket ger automatisk skanning av potentiellt skadliga bilagor eller länkar. Teams tillhandahåller också tydliggörande information om interaktioner med externa chattar och misstänkta phishing-konversationer har uppstått.

Kontinuerliga uppdateringar för att möta hoten
Hotaktörer förändrar ständigt sina metoder för att försöka lyckas vinna åtkomst över både konton och data. Som svar på detta sker kontinuerliga säkerhetsuppdateringar i Microsofts samarbetsprodukter. Bland annat kommer ett förstärkt skydd kring filer och chatt-meddelanden i Teams att rullas ut till alla under Q2 2025 för att fortsatta stärka denna attack-vektor.

En flerskiktad strategi utgör grunden för skydd
Device-code phishing är en sofistikerad phishing-teknik som kombinerar en kraftfull attackmetod med social manipulation. Det mest effektiva skyddet kräver en flerskiktad strategi som kombinerar tekniska kontroller med förstärkt, mänsklig medvetenhet genom hela din organisation för att säkerställa att risken hanteras på ett optimalt sätt.

Vill du veta mer om phishing-attacker och hur du kan skydda din organisation? Hör av dig!