Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli attori delle minacce utilizzano Microsoft Teams per eseguire attacchi di phishing, sfruttando la familiarità visiva e del dominio per ingannare gli utenti. La compromissione degli account legittimi e l'uso di tecniche di ingegneria sociale sono comuni. Per difendersi efficacemente, è necessario combinare consapevolezza degli utenti con configurazioni severe e controlli centrati sull'identità.
Un dipendente riceve un messaggio su Microsoft Teams da un presunto fornitore di servizi IT. Il messaggio è contrassegnato come esterno, avvisa di un problema con l’account dell’utente e invita ad approvare una richiesta di autenticazione multifattore (MFA).
Ma dietro le quinte, però, la compromissione è già in corso.
Questo scenario illustra come gli attori delle minacce possano manipolare i dipendenti attraverso canali di comunicazione interni affidabili. Recentemente, gruppi come Cloaked Ursa (noto anche come APT29, Cozy Bear e Midnight Blizzard) hanno utilizzato account compromessi per inviare messaggi su MS Teams con link dannosi che reindirizzavano a pagine di raccolta credenziali.
A dicembre 2025, UNC6692 invece, ha impersonato il personale dell’help desk IT utilizzando MS Teams.
L’ingegneria sociale basata su chat è in forte ascesa: nel primo quadrimestre del 2026, il 42% degli allarmi di phishing proveniva da strumenti di collaborazione, rispetto al 30% dei quattro mesi precedenti. Gli utenti sono più cauti con le email grazie a gateway intelligenti e simulazioni di phishing, ma meno con gli strumenti di collaborazione.
Unit 42 ha osservato degli attori di minacce che avviavano chat su MS Teams utilizzando tecniche per mascherare la loro identità. Alcuni usano domini typosquatted simili a fornitori affidabili o convenzioni di nomenclatura interne, mentre altri operano da tenant Microsoft 365 contro l’organizzazione bersaglio.
In molte organizzazioni, la federazione Teams è abilitata per default, permettendo agli utenti di comunicare con tenant esterni. In scenari avanzati, gli attori delle minacce compromettono account legittimi di fornitori o partner e sfruttano le relazioni di fiducia esistenti.
Microsoft Teams ha una funzione di protezione dall’impersonificazione che avvisa i destinatari dei messaggi esterni, ma la decisione finale spetta all’utente. Gli attori delle minacce contano sulla familiarità visiva e del dominio per impersonare entità affidabili, abbassando la diffidenza degli utenti.
Per difendersi, è necessario spostare l’onere dagli utenti e prevenire il maggior numero possibile di richieste di chat dannose. Cloaked Ursa ha successo non perché MS Teams sia insicuro, ma perché le impostazioni di comunicazione esterna sono spesso troppo permissive e gli utenti tendono a fidarsi degli strumenti interni.
La difesa più efficace combina una serie di fattori tra i quali la consapevolezza degli utenti e delle configurazioni severe e controlli centrati sull’identità. La formazione deve purtroppo evolversi oltre il tipico addestramento contro il phishing via email. Deve insegnare agli utenti a riconoscere i segnali, come questi specifici su MS Teams e a verificare le richieste attraverso canali separati.
Per proteggere la comunicazione su MS Teams, diventa quindi fondamentale configurare chi può interagire attraverso le chat.
Le impostazioni di configurazione controllano gli account non gestiti o personali, permettendo agli utenti esterni di avviare conversazioni se abilitate. Se possibile, questa funzione dovrebbe essere disabilitata per prevenire che utenti esterni inizino chat con utenti interni.
Microsoft consiglia di consultare la documentazione sulle Best Practices per una discussione più completa sulla configurazione della sicurezza di MS Teams.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]