Angripare har flyttat sina phishingoperationer in i Microsoft Teams och kontaktar anställda direkt via plattformen från Microsoft 365-tenants de själva kontrollerar. Meddelandena ser ut att komma från företagets egna IT-funktion. Enligt Unit 42, Palo Alto Networks underrättelseenhet, sprids tekniken mot företagsmål i Europa och Nordamerika.
Metoden är enkel att genomföra och svår för anställda att genomskåda. Angriparna registrerar Microsoft 365-tenants med domännamn utformade för att likna riktiga företag och initierar sedan Teams-chattar med personal på målorganisationen. Eftersom meddelandet kommer via Teams och inte via e-post sänker många mottagare garden. Chatten ser ut som en intern IT-förfrågan, ibland formulerad som en helpdesk-uppföljning, ibland som en uppmaning att installera ett fjärråtkomstverktyg. Oavsett vilket har angriparen fått ett fotfäste när den anställde väl följer instruktionerna.
Rapid7 dokumenterade samma teknik i egna incidentutredningar och konstaterade att angriparna använde Teams-meddelanden för att förmå offer att starta fjärrhjälpsprogram, varefter angriparen tar över sessionen interaktivt. Inga e-postfilter, ingen bilageskanning, ingen länkanalys. Angreppet kringgår de flesta skyddsåtgärder organisationer byggt för e-postbaserad phishing.
Därför är Teams en attraktiv angreppsyta
Microsoft 365-tenants är billiga att skapa och har en inbyggd trovärdighet. Ett meddelande från en tenant med namnet contoso-it-support.onmicrosoft.com ser mer legitimt ut än en misstänkt e-postdomän, eftersom det tekniskt sett är ett riktigt Microsoft-hostat konto. Extern åtkomst i Teams är aktiverat som standard i många organisationer, vilket innebär att anställda kan ta emot meddelanden från utanför den egna tenanten utan någon explicit konfigurationsändring.
Typosquatting förstärker bedrägeriet ytterligare. Angriparna registrerar tenantnamn som ligger tillräckligt nära målföretagets riktiga domän för att en hastig blick inte ska väcka misstanke. En anställd som får ett meddelande från vad som ser ut att vara den egna IT-avdelningen, med en uppmaning att bekräfta inloggningsuppgifter eller godkänna en fjärrsession, agerar utifrån ett förtroende som plattformen har skänkt angriparen gratis.
Det är samma social engineering-logik som lät Scattered Spider ta sig in i M&S:s system via ett helpdesk-telefonsamtal i april 2025. Mediet förändras. Manipulationen gör det inte.
Standard-MFA löser inte det här
Unit 42 är tydliga på den här punkten: standard multifaktorautentisering är inte tillräckligt mot adversary-in-the-middle-tekniker och moderna MFA bypass-metoder. När en angripare genomför en live-session via Teams ingår det i manuset att övertala den anställde att godkänna en MFA-prompt. Den anställde tror sig autentisera en legitim IT-förfrågan. I själva verket överlämnar personen en bekräftad sessionstoken till angriparen.
Phishing-resistant MFA, specifikt FIDO2-hårdvarunycklar eller passkeys, eliminerar den vektorn. Till skillnad från TOTP-koder eller push-notiser är FIDO2-uppgifter kryptografiskt bundna till den legitima domänen och kan inte vidarebefordras till en angriparkontrollerad session. En användare kan inte luras att godkänna åtkomst till en tjänst de faktiskt inte ansluter till.
Unit 42:s rådgivning ger inte den tekniska djupet som krävs för att bedöma exakt vilka inloggningsflöden som angrips i dessa Teams-kampanjer. Palo Alto Networks har kommersiella skäl att förstärka känslan av brådska. Det gör inte den underliggande tekniken mindre verklig, men organisationer bör kartlägga sin specifika exponering innan de behandlar rådgivningen som en fullständig bild.
Tre konfigurationsändringar som minskar exponeringen
Den första gäller extern åtkomst i Teams. Granska vem som kan initiera kontakt med era anställda från utanför er tenant. Microsoft Teams administrationscenter låter organisationer begränsa extern kommunikation till specifika betrodda domäner eller helt inaktivera oombedd extern kontakt. De flesta organisationer har aldrig sett över den inställningen sedan driftsättning.
Den andra gäller fjärrhjälpsverktyg. Rapid7:s incidenthanteringsrekommendationer föreslår att verktyg som Quick Assist, AnyDesk och TeamViewer begränsas eller övervakas noga. Det är dessa verktyg angriparna ber anställda köra efter att initial kontakt etablerats. Om er helpdesk inte använder Quick Assist finns det ingen anledning att det ska vara tillgängligt för slutanvändare. Windows Remote Management bör begränsas till kontrollerade, namngivna system.
Den tredje är användarutbildning, och den måste vara specifik. Det räcker inte att uppmana anställda att vara vaksamma på phishing. De behöver veta att IT aldrig initierar kontakt via ett oväntat Teams-meddelande med en uppmaning att installera programvara eller godkänna en autentiseringsförfrågan. Kommunicera den förväntningen explicit, skriftligt, från IT-ledningen. Testa den sedan.
Referenser
- When “Hi, This Is IT” Comes Through Microsoft Teams
- Palo Alto Networks Unit 42 Research Portal
- Microsoft Security Blog – Cross-tenant Helpdesk Impersonation to Data Exfiltration
- 2026 Unit 42 Global Incident Response Report
This post is also available in:
English
