Aanvallers maken steeds vaker gebruik van Microsoft Teams om toegang te krijgen tot bedrijfsnetwerken. Door zich via de externe toegangsfunctie van Teams voor te doen als IT-helpdesk, weten zij medewerkers te overtuigen om remote control toe te staan. Dit blijkt uit nieuw onderzoek van Microsoft.

In een blogpost beschrijft Microsoft een zogenaamde 'cross-tenant helpdesk impersonation'-techniek. Hierbij starten aanvallers gesprekken met medewerkers via Teams, waarbij zij social engineering inzetten om gebruikers te verleiden toegang te verlenen. Omdat deze methode gebruikmaakt van legitieme communicatiekanalen, omzeilt het traditionele phishingbeveiligingen. In tegenstelling tot klassieke phishing of exploit-aanvallen, gaat het hier om door gebruikers goedgekeurde toegang. Slachtoffers starten zelf de sessies, vaak met legitieme tools, waardoor de controle effectief in handen van de aanvallers komt zonder dat malware-detectie wordt geactiveerd.

Analisten zien deze methode als een evolutie van bestaande social engineering-tactieken, waarbij het kanaal verandert maar het doel hetzelfde blijft: het misbruiken van gebruikersvertrouwen om toegang te verkrijgen. Omdat platforms als Teams centraal staan in de dagelijkse communicatie, volgen aanvallers hun slachtoffers naar deze omgevingen. De mogelijkheid tot realtime interactie maakt de imitatie van IT- of helpdeskmedewerkers overtuigender dan traditionele e-mailphishing. Volgens experts vergroot dit de aanvalsvector en maakt het social engineering effectiever.

Microsoft wijst erop dat deze aanvalsketen gebruikmaakt van de cross-tenant communicatie in Teams, waarmee externe gebruikers gesprekken kunnen starten met medewerkers. De risico’s hiervan worden volgens adviseurs vaak onderschat. Samenwerkingsplatformen zijn ontworpen om drempels te verlagen, maar veel organisaties hebben deze gemakzucht ingeschakeld zonder volledige Zero Trust-controles te implementeren. Het advies is om externe interacties, supportverzoeken en toegangsverlening altijd te verifiëren, te beperken en te monitoren, vergelijkbaar met fysieke beveiliging waarbij bezoekers niet zomaar toegang krijgen tot beveiligde ruimtes.

Deze bevindingen sluiten aan bij eerdere incidenten waarbij aanvallers Teams-chats en -gesprekken misbruikten om zich voor te doen als IT-ondersteuning en zo remote toegang te verkrijgen, zoals beschreven in een vorige analyse van Microsoft.