Ataque de phishing de Microsoft Teams se dirige a los usuarios de Office 365

Más de 50.000 usuarios de Office 365 están siendo objetivo de una campaña de phishing que pretende notificarles de un «chat perdido» de Microsoft Teams.

Los investigadores advierten sobre una campaña de phishing que pretende ser un mensaje automatizado de Microsoft Teams. En realidad, el ataque tiene como objetivo robar las credenciales de inicio de sesión de los destinatarios de Office 365.

. Esta campaña en particular se envió a entre 15.000 y 50.000 usuarios de Office 365, según investigadores de Abnormal Security el jueves.

«Debido a que Microsoft Teams es un servicio de mensajería instantánea, los destinatarios de esta notificación podrían ser más propensos a hacer clic en ella para poder responder rápidamente a cualquier mensaje que crean que se les pasó por alto en función de la notificación», dijeron los investigadores en un análisis del jueves. 

El correo electrónico de phishing inicial muestra el nombre «Hay nueva actividad en Teams», lo que hace que parezca una notificación automática de Microsoft Teams.

Como se ve en la imagen a continuación, el correo electrónico le dice al destinatario que sus compañeros de equipo están tratando de comunicarse con ellos, advirtiéndoles que se perdieron los chats de Microsoft Team y mostrando un ejemplo de un chat de compañeros de equipo que les pide que envíen algo antes del miércoles de la próxima semana.

Para responder, el correo electrónico insta al destinatario a hacer clic en el botón «Responder en equipos». Sin embargo, esto conduce a una página de phishing.

“Dentro del cuerpo del correo electrónico, hay tres enlaces que aparecen como ‘Microsoft Teams’, ‘(contacto) envió un mensaje en mensajería instantánea’ y ‘Responder en equipos’”, según los investigadores. “Hacer clic en cualquiera de estos conduce a un sitio web falso que se hace pasar por la página de inicio de sesión de Microsoft. La página de phishing le pide al destinatario que ingrese su correo electrónico y contraseña».

Los investigadores dijeron que la página de inicio de phishing también se parece de manera convincente a una página de inicio de sesión de Microsoft con el inicio de la URL que contiene «microsftteams». Si los destinatarios están convencidos de ingresar sus credenciales de Microsoft en la página, sin saberlo, las están entregando a los atacantes, quienes luego pueden usarlas para una variedad de propósitos maliciosos, incluida la toma de control de la cuenta.