Przez lata phishing kojarzył się głównie z czymś zewnętrznym wobec normalnej pracy: podejrzanym mailem, dziwną domeną, nieudolnie podrobioną stroną logowania, załącznikiem, który „od razu śmierdzi”. Ten model nadal istnieje, ale coraz częściej przestaje być najciekawszy. W nowoczesnych kampaniach atakujący nie zawsze próbują już udawać wiarygodność z zewnątrz. Coraz częściej wchodzą do kanałów, które wiarygodne są z definicji. To właśnie pokazały ostatnie przypadki nadużyć Teams i Azure Monitor.
W przypadku Teams Microsoft opisał incydent, w którym kompromitacja zaczęła się od rozmowy przypominającej normalne wsparcie techniczne, a potem przeszła do nadużycia legalnych narzędzi zdalnego dostępu. To ważne nie dlatego, że ktoś znów „podszył się pod helpdesk”. Ważne jest to, że cały atak został osadzony w środowisku, które użytkownik kojarzy z codzienną, firmową komunikacją. Teams nie był tłem incydentu. Teams był częścią jego wiarygodności.
Azure Monitor pokazuje ten sam wzór w jeszcze bardziej wyostrzony sposób. Według opisu BleepingComputer atakujący nadużywali alertów Azure Monitor do wysyłania callback phishingu z prawdziwego adresu azure-noreply@microsoft.com, a wiadomości wyglądały jak normalne, systemowe ostrzeżenia o rzekomych opłatach czy problemach z kontem. Microsoft dokumentuje, że Azure Monitor korzysta z action groups, czyli legalnego mechanizmu służącego do rozsyłania powiadomień i wykonywania akcji po uruchomieniu alertów. Innymi słowy: phishing nie tylko udawał system alarmowy — on przejął jego kanał dystrybucji.
To właśnie łączy oba przypadki. W Teams przestępca wchodzi w rolę wsparcia. W Azure Monitor wchodzi w rolę samego systemu powiadomień. Narzędzie jest inne, ale logika identyczna: atak nie wygrywa dlatego, że jest szczególnie egzotyczny technicznie. Wygrywa dlatego, że wygląda jak naturalna część legalnego procesu. Użytkownik nie ma poczucia, że opuszcza znane środowisko. Przeciwnie — ma wrażenie, że cały czas działa w jego wnętrzu.
To oznacza dość istotną zmianę w sposobie myślenia o phishingu. W starszym modelu główne pytanie brzmiało: „czy to jest prawdziwe?”. Czy domena jest prawdziwa, czy logo jest prawdziwe, czy nadawca jest prawdziwy. W nowym modelu to pytanie coraz częściej nie wystarcza, bo odpowiedź może brzmieć: tak, kanał jest prawdziwy. Teams jest prawdziwy. Adres Microsoftu jest prawdziwy. System alertów jest prawdziwy. A mimo to intencja pozostaje złośliwa. Problem przesuwa się więc z warstwy samej treści na warstwę architektury zaufania.
I właśnie dlatego pojęcie „legit channel, malicious intent” tak dobrze opisuje ten trend. Nie chodzi w nim po prostu o nadużycie znanej marki. Chodzi o to, że atakujący korzystają z legalnego kanału, by przemycić własną intencję do workflow ofiary. To nie jest już klasyczne fałszerstwo. To bardziej przejęcie wiarygodności, która została wcześniej zbudowana przez platformę, organizację albo codzienny nawyk użytkownika.
Z tej perspektywy Teams i Azure Monitor warto czytać jako dwa warianty tego samego zjawiska. Pierwszy pokazuje, że legalne narzędzie komunikacyjne może stać się nowym helpdeskiem dla przestępców. Drugi pokazuje, że legalny mechanizm alertów może stać się ich panelem alarmowym. W obu przypadkach szkoda nie bierze się z „dziwnego pliku” ani „jawnie podejrzanego linku”. Bierze się z tego, że ofiara ufa interfejsowi bardziej, niż weryfikuje intencję, która przez ten interfejs właśnie do niej trafia.
To jest zresztą dużo większy temat niż same produkty Microsoftu. Teams i Azure Monitor są po prostu dobrymi, świeżymi przykładami czegoś szerszego. W nowoczesnych środowiskach pracy coraz więcej procesów dzieje się przez zaufane, zunifikowane interfejsy: komunikatory, systemy alertów, workflow automatyzacji, portale administracyjne, platformy współpracy. Im bardziej organizacja przyzwyczaja się do tego, że „tak wygląda normalna praca”, tym bardziej atrakcyjne stają się te kanały dla napastnika. Nie trzeba już wyciągać ofiary poza znany kontekst. Wystarczy skazić ten kontekst od środka.
To ma też bardzo praktyczne konsekwencje dla obrony. Jeżeli uznamy, że problemem jest wyłącznie fałszywa treść, będziemy w nieskończoność szkolić ludzi z rozpoznawania podejrzanych maili. To nadal potrzebne, ale coraz mniej wystarczające. Trzeba też przyjąć, że legalne platformy mogą być używane jako nośniki ataku i że „prawdziwy kanał” nie jest już sam w sobie gwarancją bezpieczeństwa. Innymi słowy: domena, platforma i interfejs mogą być autentyczne, a mimo to cały przekaz może prowadzić dokładnie tam, gdzie chce napastnik.
Dlatego najlepszy wniosek z tej serii nie brzmi: „uważaj na phishing”. To zbyt ogólne. Lepszy brzmi: uważaj na zaufanie, które zostało już wbudowane w narzędzie. Bo właśnie ono staje się dziś najcenniejszym zasobem do przejęcia. Atakujący nie zawsze muszą już fałszować cały świat. Coraz częściej wystarczy, że wykorzystają ten fragment świata, który i tak wygląda legalnie.
Co spina Teams i Azure Monitor
Najprościej można to rozpisać tak:
- legalny interfejs
- użytkownik działający w normalnym workflow
- komunikat wyglądający jak część rutynowego procesu
- złośliwa intencja ukryta wewnątrz zaufanego kanału
W Teams kanałem jest komunikacja przypominająca pomoc techniczną.
W Azure Monitor kanałem jest systemowe powiadomienie przypominające alert bezpieczeństwa lub billingowy.
Mechanizm różni się detalami, ale rdzeń jest ten sam.
Dlaczego ten wzór będzie wracał
Bo organizacje same konsekwentnie budują środowiska, w których coraz więcej rzeczy dzieje się przez kilka centralnych, zaufanych platform. To wygodne operacyjnie, ale bezpieczeństwo płaci za tę wygodę nowym typem ryzyka. Im bardziej interfejs jest oswojony, tym mniej energii użytkownik poświęca na pytanie, czy sam kanał może być elementem ataku. A właśnie tam napastnicy zaczynają dziś szukać przewagi.
Podsumowanie
Teams i Azure Monitor nie opowiadają dwóch różnych historii.
Opowiadają jedną:
nowoczesny atak coraz częściej nie przychodzi z zewnątrz zaufanego środowiska.
On przychodzi przez jego legalny interfejs.
I właśnie dlatego „legit channel, malicious intent” nie jest tylko chwytliwą etykietą. To coraz trafniejszy opis tego, jak dziś wygląda kompromitacja zaufania.
Źródła
- Microsoft Security Blog — opis incydentu rozpoczynającego się od rozmowy wsparcia w Teams i nadużycia legalnych narzędzi.
- BleepingComputer — opis nadużywania Azure Monitor alerts do callback phishingu z prawdziwego adresu Microsoftu.
- Microsoft Learn / Q&A — opis mechaniki action groups i potwierdzenie schematu nadużycia alertów Azure Monitor.
- Cyberflux o Teams jako nowym helpdesku dla przestępców.
