Avtal et møte

Hackere utgir seg for å være IT-support på Microsoft Teams

Kilde: Mandiant

Hackere i gruppen UNC6692 har utviklet en sofistikert metode for å bryte seg inn i bedriftsnettverk ved å utgi seg for å være IT-support på Microsoft Teams. Angrepet starter med en massiv bølge av søppelpost som overvelder offerets innboks. Deretter blir den ansatte kontaktet direkte på Teams av en person som utgir seg for å være fra bedriftens brukerstøtte, med et tilbud om å hjelpe til med å stoppe e-postproblemene.

Gjennom manipulasjon blir offeret ledet til en falsk nettside som utgir seg for å være et reparasjonsverktøy for e-post. Her blir man instruert til å laste ned et skript som installerer en ondsinnet nettleserutvidelse kalt «SnowBelt». Denne fungerer som en bakdør inn i systemet, slik at angriperne kan bevege seg fritt i bedriftens interne nettverk uten å måtte logge inn på nytt.

For å sikre at angrepet lykkes, bruker hackerne flere psykologiske triks. Hvis offeret bruker en annen nettleser enn Microsoft Edge, tvinges de til å bytte for at «verktøyet» skal fungere. I tillegg er nettsiden programmert til å avvise de to første passordforsøkene. Dette lurer brukeren til å skrive inn passordet sitt flere ganger, noe som både øker troverdigheten og sikrer at hackerne får korrekte påloggingsdata.

Når bakdøren er installert, kan angriperne laste ned tilleggsverktøy som «SnowGlaze» og «SnowBasin» for å utføre videre spionasje eller datatyveri. Sikkerhetseksperter i Mandiant advarer om at denne kampanjen viser en farlig utvikling, der angripere utnytter den store tilliten ansatte har til interne samhandlingsverktøy som Microsoft Teams for å omgå tradisjonelle sikkerhetsbarrierer.

Hvile sikkerhetstiltak kan bedrifter innføre for å stoppe slike Teams-baserte angrep?

For å beskytte seg mot avanserte angrep via Microsoft Teams, som de utført av gruppen UNC6692, anbefaler sikkerhetseksperter fra Mandiant og Microsoft en kombinasjon av tekniske sperrer og opplæring.

Her er de viktigste tiltakene for bedrifter:

Tekniske sikkerhetsgrep

  • Begrens ekstern kommunikasjon: Administratorer bør begrense eller blokkere ekstern tilgang slik at brukere utenfor organisasjonen ikke kan starte samtaler uoppfordret.
  • Flerfaktorautentisering (MFA): Implementer phishing-resistent MFA, som FIDO2-nøkler eller autentiseringsapper med tallmatching, da standard SMS-koder ofte kan omgås av moderne hackere.
  • Overvåking av nettleserutvidelser: Siden angrepet bruker ondsinnede utvidelser (som SnowBelt, SnowBasin og SnowGlaze), bør IT-avdelingen overvåke og begrense installasjon av utvidelser i Microsoft Edge og Chrome.
  • Bruk Safe Links: Aktiver Safe Links i Microsoft Defender for Teams, som skanner lenker i sanntid når en bruker klikker på dem.
  • Bruk et antivirus som Bitdefender for å få best mulig beskyttelse mot phishing i selve Teams-appen

Rutiner og opplæring

  • Verifiser avsender: Ansatte må lære å se etter merket «Ekstern» i Teams-samtaler. Ekte IT-support i egen bedrift vil nesten aldri kontakte deg fra en ekstern konto.
  • Ingen «patcher» via chat: Etabler en klar policy om at IT-avdelingen aldri sender programvareoppdateringer eller skript direkte via Teams-chat. All programvare skal installeres via offisielle bedriftsportaler.
  • Rapporter mistenkelig aktivitet: Lag en lav terskel for å rapportere uvanlige Teams-meldinger. Hvis du opplever «e-post-bombing», kontakt IT-avdelingen via en kjent, trygg kanal (som telefon eller intern portal).

/Ofte Stilte Spørsmål

Hvordan fungerer phishing-angrep mot bedrifter?

phishing-angrep skjer vanligvis via e-post der angripere utgir seg for å være en legitim avsender, for eksempel en leverandør eller leder i selskapet. Målet er ofte å lure ansatte til å klikke på skadelige lenker, oppgi passord eller gjennomføre betalinger.

Hva er den største cybertrusselen mot små og mellomstore bedrifter?

Den største cybertrusselen mot små og mellomstore bedrifter (SMB) er industrialisert og AI-drevet nettkriminalitet, der særlig sofistikert phishing og løsepengevirus (ransomware) dominerer trusselbildet.

Hva er 3-2-1-regelen?

3-2-1-regelen er gullstandarden for backup 3 kopier av dataene: Du skal ha originaldataene pluss to sikkerhetskopier. 2 ulike medier: Lagre kopiene på forskjellige typer lagringsenheter (f.eks. PC, NAS, og sky). 1 kopi utenfor huset:Én backup skal alltid oppbevares på en annen fysisk lokasjon (f.eks. i skyen).

Hvor kan norske bedrifter få oppdatert informasjon om cybertrusler?

Norske bedrifter kan få oppdatert informasjon fra nasjonale myndigheter og fagmiljøer som publiserer analyser, råd og varsler om cybersikkerhet.

Hvilke bransjer er mest utsatt for cyberangrep i Norge?

Flere bransjer er spesielt utsatt for cyberangrep, blant annet produksjon, detaljhandel og e-handel, regnskap og økonomitjenester, helse og omsorg, samt byggebransjen.

Hvor ofte bør en bedrift ta backup av data?

Bedrifter bør ta regelmessige sikkerhetskopier av kritiske data, helst daglig. Backup bør lagres både sikkert og offline slik at den ikke påvirkes av ransomware-angrep eller andre sikkerhetshendelser.

Hvorfor bør bedrifter bruke Tofaktorautentisering?

Tofaktorautentisering (MFA) gir et ekstra sikkerhetslag ved at brukere må bekrefte innlogging med en ekstra faktor, for eksempel en kode fra mobiltelefonen. Dette gjør det mye vanskeligere for angripere å få tilgang til kontoer selv om passordet blir stjålet.

Hva er CEO-svindel?

CEO-svindel er en type phishing der angriperen utgir seg for å være en leder i bedriften. De sender ofte en e-post til en ansatt i økonomi eller administrasjon med en hasteforespørsel om å overføre penger til en konto.

/Kontakt oss

Adresse

Fabrikkvegen 27,

5265 Ytre Arna

Kontakt

m. +47 980 03 140

e. post@bratlandconsulting.com

Abonner på nyhetsbrev

 

Bratland Consulting AS © 2026 – All rights reserved

#

Vi bruker informasjonskapsler for å gi deg den beste opplevelsen på nettstedet vårt.

Informasjonskapsler (cookies) | Personvernerklæring (GDPR)