
[注意] Microsoft Teams 的「與任何人聊天」邀請並不總是安全的
CyberProof的研究人員警告,威脅行動者正在透過Microsoft Teams的“與任何人聊天”功能發動釣魚攻擊,這個功能允許外部用戶透過電子郵件地址發送直接訊息。
研究人員解釋說:“Microsoft Teams現在允許用戶向任何電子郵件地址發送直接聊天邀請,即使收件人不在Teams租戶中。”他們補充:“用戶可以與作為客人加入的外部參與者開始聊天,這受Entra B2B Guest政策的管理。”
在這種情況下,一名攻擊者冒充IT支援向Teams用戶發送了直接訊息。幾名員工收到這些訊息,並被誆騙加入使用Windows Quick Assist的遠端支援會議。
CyberProof表示:“攻擊者在第二天(2025年11月5日)再次以IT支援的身份聯絡用戶,開始一次Teams通話,並通過發送一個釣魚網址,騙取使用者啟動Quick Assist,要求用戶提供登錄憑證來下載Quick Assist。”在用戶輸入他們的Microsoft憑證後,攻擊者在其電腦上安裝了一個資訊竊取者。
研究人員警告,隨著“與任何人聊天”功能在接下來幾週的全面釋出,組織應該為更多類似攻擊做好準備。用戶應對未經請求的訊息保持警惕,即使這些訊息看起來來自於熟識的同事。
研究人員寫道:“自推出以來,預計在2025年11月初推出的MS Teams功能以及計畫在2026年1月全面全球推出的功能,已引發數據曝光和合規風險的擔憂。 我們認為這可能為更多的惡意軟體和釣魚攻擊的潛在升級打開了大門。”
基於AI的安全意識訓練能為您的組織提供抵禦釣魚和其他社交工程攻擊的基本防禦層。KnowBe4幫助您的員工每天做出更明智的安全決策。全球超過70,000個組織信賴KnowBe4 HRM+平台來強化他們的安全文化並降低人為風險。
文章來源: [Beware] Microsoft Teams ‘Chat with Anyone’ invites aren’t always safe


