En melding fra «IT-support» i Teams. En innboks full av spam. Et klikk for å gi fjerntilgang. Problemet er at angriperne ikke trenger å bryte seg inn. Døren står ofte åpen.
Tenk deg dette: Du starter arbeidsdagen og merker at noe er galt. Innboksen fylles opp i en hastighet du aldri har sett. Nyhetsbrev, bekreftelsesmeldinger og automatiske e-poster strømmer inn, hundrevis på noen få minutter. Mens du forsøker å forstå hva som skjer, dukker det opp en melding i Microsoft Teams. Det er «IT-support». De har sett den uvanlige aktiviteten og vil hjelpe deg med å løse problemet.
Det høres naturlig ut. Det virker legitimt. Men det er ikke det.
Angriperne har funnet en åpen dør i Teams
Det som gjør dette angrepet farlig er ikke den tekniske sofistikasjonen. Det er at Microsoft Teams i utgangspunktet er konfigurert til å tillate meldinger fra hvem som helst utenfor organisasjonen.
Funksjonen kalles ekstern tilgang eller federation, og den er aktivert som standard i mange Teams-miljøer. For angripere er dette en åpen dør. De trenger ingen gyldige brukernavn eller passord, og de trenger ikke å bryte seg gjennom brannmurer. De sender bare en melding, og det ser ut som den kommer fra IT-avdelingen din.
Et kjent angrepsmønster i rask utvikling
Angrepsmønsteret er dokumentert i en rekke hendelser internasjonalt, og sikkerhetsselskaper som Sophos og ReliaQuest har fulgt det tett gjennom 2024 og 2025. Grupper med tilknytning til ransomware-aktørene Black Basta og Cactus har spesialisert seg på nettopp denne kombinasjonen: e-postbombing etterfulgt av falsk IT-support via Teams. Det som tidligere var manuelle og tidkrevende angrep er nå i stor grad automatisert. I noen dokumenterte tilfeller har angriperne gått fra første kontakt til å kjøre skadelige skript på under 12 minutter.
Angrepet starter med det som kalles subscription bombing. Offerets e-postadresse registreres automatisk på hundrevis av nettsteder og nyhetsbrevtjenester, noe som utløser en flom av e-poster. Resultatet er en kaotisk innboks og en bruker som er forvirret og stresset.
Deretter kommer Teams-meldingen. En person som utgir seg for å være fra IT-avdelingen tilbyr hjelp, og for å «løse problemet» ber de brukeren om å starte en fjernstyringsøkt, ofte via Windows Quick Assist, som er innebygd i alle Windows-maskiner, men også via verktøy som AnyDesk eller TeamViewer.
Når brukeren godtar, har angriperne full tilgang til maskinen. Derfra kan de installere ransomware, stjele filer og påloggingsinformasjon, bevege seg videre i nettverket og sette seg fast på måter som kan ta lang tid å oppdage.
Problemet sitter i konfigurasjonen
Det er verdt å merke seg at dette angrepet lykkes på grunn av standardinnstillinger, ikke fordi brukerne gjør noe åpenbart galt.
I mange Teams-miljøer finnes det ingen synlig advarsel som forteller brukeren at avsenderen er ekstern. Varsler som «Ekstern», «Gjest» eller «Ubekreftet» skal i teorien vises, men dette avhenger av hvordan Teams er satt opp i den enkelte virksomheten. Uten disse merkene har brukeren ingen enkel måte å skille en ekte intern kollega fra en angriper.
I tillegg har mange virksomheter ikke begrenset hvem som kan kontakte ansatte via Teams. Ekstern tilgang er aktivert uten at noen har stilt spørsmålet om hvem som egentlig skal ha lov til å nå de ansatte. Det er ikke IT-avdelingen som har tatt et aktivt valg om å åpne opp. Det er standardinnstillingen som aldri ble endret.
Hva bør virksomheter gjøre?
Det første stedet å begynne er Teams Admin Center, der administratorer kan styre hvem som kan kontakte ansatte utenfra. For mange vil det gi mening å begrense ekstern tilgang til klarerte partnere og domener, fremfor å tillate kontakt fra hvem som helst.
Like viktig er at advarsler om eksterne avsendere faktisk er synlige for brukerne. Dette bør testes, ikke bare antas å fungere.
Virksomheter bør også etablere klare rutiner rundt fjernstyringsverktøy. IT-avdelingen bør aldri be ansatte om å starte en Quick Assist-økt via en uoppfordret Teams-melding. Når ansatte vet dette, er det lettere å gjenkjenne angrepet for hva det er.
Og ikke minst: ansatte som plutselig mottar hundrevis av e-poster bør vite at dette kan være starten på noe, og at de skal ta kontakt med IT på eget initiativ, ikke svare på henvendelser som kommer til dem.
En gammel svindel i ny drakt
Dette angrepet er en moderne versjon av den klassiske «Microsoft-support»-svindelen mange kjenner fra telefon. Forskjellen er at angriperne nå skaper et reelt problem først, og at de møter ofrene sine på den plattformen der de allerede jobber og stoler på kommunikasjonen.
Teams er ikke et internt verktøy slik de fleste ansatte oppfatter det. Det er en plattform med åpne kanaler inn, og for mange virksomheter er disse kanalene ikke godt nok kontrollert.
Sjekk din Teams-konfigurasjon i dag. Det er ikke nødvendigvis store grep som skal til, men noen må faktisk ha sett på innstillingene og tatt et bevisst valg.
Hos nLogic jobber vi med IT-sikkerhet for virksomheter i alle størrelser. Enten du har en stor IT-avdeling eller bare noen få ansatte, er vi vant til å hjelpe med alt fra de små justeringene til de større sikkerhetsspørsmålene. Ta gjerne kontakt.