駭客冒充IT與客服人員,透過跨租戶Teams通訊進行社交工程攻擊
攻擊手法與背景
駭客透過冒充企業IT人員或客服,建立跨租戶的Microsoft Teams通訊,並利用社交工程手法誘騙員工授予遠端桌面存取權限。此類攻擊活動近年來日益升溫,尤其在企業採用Microsoft Teams作為內部與外部協作平臺的環境下,風險顯著增加。
攻擊流程與技術
- 駭客首先滲透多個Microsoft 365小型企業租戶,利用其權限建立合法的子網域。
- 隨後透過Microsoft Teams向目標組織發送訊息,聲稱可協助處理爆量信件或解決技術問題,以建立信任。
- 一旦員工授予遠端存取權限,駭客即可透過遠端監控取得內部系統存取,並進行資料竊取或惡意軟體部署。
微軟警告與防範建議
微軟已公開警告此類攻擊活動,並指出駭客常使用開源工具(如TeamsEnum與TeamFiltration)進行組織結構偵測,以鎖定潛在的資安弱點。建議企業加強員工訓練,並建立對可疑訊息的審查機制。
相關案例與資料來源
Microsoft官方安全公告 提供了完整的威脅鏈分析,說明駭客如何透過跨租戶Teams進行社交工程與資料外洩。