Microsoft Teams, kurumlar için güçlü bir iletişim ve iş birliği platformu olsa da, harici iletişim ve federation ayarları kontrolsüz bırakıldığında saldırganlar için etkili bir sosyal mühendislik kanalına dönüşebiliyor.

Son dönemde Microsoft Teams üzerinden gerçekleştirilen saldırılarda iki farklı yöntemin öne çıktığı görülüyor. İlk yöntemde saldırganlar, farklı bir Microsoft 365 tenant’ı üzerinden kurum çalışanlarına ulaşıyor, kendilerini IT veya helpdesk personeli gibi tanıtarak kullanıcıyı uzaktan destek oturumu başlatmaya ikna etmeye çalışıyor. İkinci yöntemde ise saldırganlar unmanaged Microsoft hesapları, örneğin hotmail.com veya outlook.com gibi bireysel hesaplar, üzerinden kurum yöneticilerinin isimlerini kullanarak çalışanlara doğrudan Teams mesajı gönderebiliyor.

Bu saldırıların ortak noktası, kullanıcının Microsoft Teams üzerinden gelen mesajı daha güvenilir algılamasıdır. E-posta oltalamasına kıyasla Teams mesajları kullanıcıda daha hızlı reaksiyon alma eğilimi oluşturabiliyor. Özellikle mesajın görünen adında kurum yöneticisinin, müdürün veya direktörün ismi yer alıyorsa çalışan, mesajın gerçek olduğunu düşünebiliyor.

Saldırı Senaryosu: Unmanaged Microsoft Account ile Yönetici Taklidi

Bu yöntemde saldırgan ilk olarak hedef kurumun yöneticilerinin isimlerini tespit eder. LinkedIn, şirket web sitesi, basın bültenleri veya sosyal medya hesapları bu bilgi için yeterli olabilir. Özellikle finans, muhasebe, satın alma veya operasyon gibi kritik departmanlarla ilişkili müdür, direktör veya üst düzey yöneticiler hedef alınır.

Ardından saldırgan, hotmail.com veya outlook.com gibi bireysel bir Microsoft hesabı oluşturur. Bu hesap kurumsal bir Microsoft 365 tenant’ına bağlı değildir; yani unmanaged Microsoft account olarak değerlendirilir. Saldırgan bu hesabın “Display Name”, yani görünen ad alanına hedef kurum yöneticisinin adını yazar.

Eğer kurumun Teams External Access ayarlarında unmanaged Microsoft hesaplarıyla iletişime izin veriliyorsa saldırgan Teams üzerinden hedef kurumdaki kullanıcıları e-posta adresleriyle aratabilir ve doğrudan sohbet başlatabilir.

Bu noktada kritik ayarlar şunlardır:

• “People in my org can chat and have meetings with external users who have unmanaged Microsoft accounts” ayarı açıksa,
• “People in my org can join external meetings and receive new chats from users who have unmanaged Microsoft accounts” seçiliyse,

saldırganın unmanaged hesabı, kurum kullanıcısına doğrudan yeni bir Teams sohbeti başlatabilir.

Teams ilk mesajda karşı tarafın “External” yani dış kullanıcı olduğunu belirtir. Ancak saldırgan e-posta adresini karşı tarafla paylaşmadıysa, kullanıcı ekranda çoğu zaman e-posta adresinden ziyade görünen adı, yani saldırganın bilinçli olarak yazdığı yönetici ismini görür.

Çalışan, yöneticisinin adını gördüğünde bir anlık dalgınlıkla sohbeti kabul ederse saldırı başlar. Bu aşamadan sonra saldırgan yönetici kimliğine bürünerek finansal bilgi talep edebilir, ödeme süreci sorabilir, acil para transferi isteyebilir veya hassas verilerin paylaşılmasını talep edebilir.

Bu saldırı, klasik Business Email Compromise yani BEC saldırılarının Teams üzerinden uygulanmış bir varyasyonu olarak değerlendirilebilir. Fark ise saldırının e-posta yerine gerçek zamanlı kurumsal iletişim platformu üzerinden ilerlemesidir.

Diğer Saldırı Senaryosu: Helpdesk Taklidi ve Uzaktan Erişim İstismarı

Microsoft’un paylaştığı örneklerde saldırganlar, harici Teams iletişimini kullanarak kendilerini IT veya helpdesk personeli gibi tanıtabiliyor. Kullanıcıya teknik bir sorun olduğu, hesabında güvenlik kontrolü yapılması gerektiği veya destek oturumu açılması gerektiği söylenebiliyor.

Bu aşamada Quick Assist, AnyDesk, TeamViewer veya benzeri uzaktan erişim araçları devreye sokulabiliyor. Kullanıcı saldırgana erişim verdiğinde saldırgan yalnızca cihaz üzerinde işlem yapmakla kalmıyor; kurum ağı içinde ilerlemeye, kimlik bilgisi toplamaya, dosya sistemlerini incelemeye ve veri sızdırmaya çalışabiliyor.

Microsoft’un analizlerinde bu tür saldırılarda WinRM, ticari uzaktan yönetim araçları ve veri transfer araçlarının kullanılabildiği görülüyor. Yani ilk temas Teams üzerinden başlasa da, saldırı zinciri endpoint, kimlik, network ve veri güvenliği katmanlarına kadar ilerleyebiliyor.

Buradaki Asıl Risk Nedir?

Buradaki risk, Microsoft Teams’in doğrudan bir teknik zafiyetinden ziyade, platformun harici iletişim özelliklerinin sosyal mühendislik amacıyla kötüye kullanılmasıdır.

Saldırganın başarılı olması için çoğu zaman teknik bir exploit kullanmasına gerek yoktur. Bunun yerine şu unsurları kullanır:

• Kurum yöneticisinin gerçek adını,
• Teams üzerindeki görünen ad bilgisini,
• Kullanıcının yöneticisine olan güvenini,
• Harici kullanıcı uyarısının gözden kaçmasını,
• Aciliyet ve otorite baskısını,
• Teams’in anlık iletişim doğasını.

Bu nedenle bu saldırılar yalnızca e-posta güvenliğiyle engellenemez. Teams External Access, Guest Access, Anonymous Meeting Join, Defender for Office 365, Conditional Access ve kullanıcı farkındalığı birlikte ele alınmalıdır.

Kurumlar Ne Yapmalı?

1. Teams External Access Ayarlarını Gözden Geçirin

İlk kontrol edilmesi gereken alan Teams Admin Center üzerindeki External Access ayarlarıdır.

Özellikle şu bölüm kontrol edilmelidir:

Teams Admin Center > Users > External access > Teams accounts not managed by an organization

Burada unmanaged Microsoft hesaplarıyla iletişime izin veren ayarlar kurum ihtiyacına göre yeniden değerlendirilmelidir.

2. İlk Önlem: Dışarıdan Doğrudan Sohbet Başlatılmasını Engelleyin

Kurum, unmanaged Microsoft hesaplarıyla iletişimi tamamen kapatmak istemiyorsa en azından dışarıdan doğrudan yeni chat başlatılmasını engellemelidir.

Bu yaklaşımda:

• “People in my org can chat and have meetings with external users who have unmanaged Microsoft accounts” açık kalabilir.
• Ancak “People in my org can join external meetings and receive new chats from users who have unmanaged Microsoft accounts” seçili olmayan duruma getirilmelidir.

Bu ayar ile kurum kullanıcılarının dış unmanaged hesaplarla iletişimi tamamen engellenmez. Ancak dışarıdaki unmanaged hesapların kurum kullanıcılarına doğrudan yeni bir sohbet penceresi açması engellenmiş olur. Bu senaryoda iletişimin kurum kullanıcısı tarafından başlatılması veya saldırganın farklı bir davet süreci kullanması gerekir.

Bu, kullanım ihtiyacı olan kurumlar için daha dengeli bir güvenlik yaklaşımıdır.

3. Daha Sert Önlem: Unmanaged Microsoft Hesaplarıyla İletişimi Kapatın

Daha güvenli yaklaşım ise unmanaged Microsoft hesaplarıyla iletişimi tamamen kapatmaktır.

Bunun için:

• “People in my org can chat and have meetings with external users who have unmanaged Microsoft accounts” ayarı kapalı duruma getirilmelidir.

Bu ayar kapatıldığında hotmail.com, outlook.com veya benzeri bireysel Microsoft hesapları üzerinden kurum kullanıcılarıyla Teams external access kapsamında iletişim kurulması engellenir.

Özellikle finans, muhasebe, hukuk, insan kaynakları ve üst yönetim gibi kritik kullanıcı gruplarının bulunduğu yapılarda bu ayarın kapatılması güçlü bir koruma sağlar.

4. Kritik Uyarı: Mevcut Sohbetler Otomatik Sonlanmayabilir

Testlerde görülen en kritik noktalardan biri şudur:

Eğer kurumda bu izinler daha önce açıksa ve saldırgan bir çalışanla sohbet başlatmışsa, yalnızca “People in my org can join external meetings and receive new chats from users who have unmanaged Microsoft accounts” ayarını seçili olmayan duruma getirmek var olan görüşmeyi otomatik olarak sonlandırmayabilir.

Bu nedenle ayar değişikliği tek başına yeterli görülmemelidir. Güvenlik ekipleri mevcut Teams sohbetlerini, kullanıcı şikayetlerini, audit kayıtlarını ve Defender uyarılarını ayrıca kontrol etmelidir.

Özellikle şu aksiyonlar önerilir:

• Şüpheli external chat geçmişleri incelenmeli.
• Finans, muhasebe ve yönetici asistanı gibi kritik kullanıcılarla görüşülmeli.
• Son dönemde gelen “External” Teams mesajları sorgulanmalı.
• Kullanıcıların kabul ettiği dış sohbetler kontrol edilmeli.
• Gerekirse ilgili sohbetler ve kullanıcı etkileşimleri olay müdahale sürecine alınmalıdır.

5. Sadece Güvenilen Domain’lere İzin Verin

Kurumlar tüm dış domain’lerle iletişime izin vermek yerine, yalnızca iş ilişkisi bulunan domain’lere izin vermelidir.

Önerilen yaklaşım:

• External Access ayarını “Allow only specific external domains” moduna alın.
• Yalnızca müşteri, tedarikçi ve iş ortağı domain’lerini allow list’e ekleyin.
• Bilinmeyen tenant’lardan gelen Teams iletişimlerini engelleyin.
• Geçici iş birlikleri için süreli ve kontrollü izin süreçleri tanımlayın.

Bu sayede rastgele oluşturulmuş veya saldırı amacıyla kullanılan tenant’lardan gelen iletişimler azaltılır.

6. Guest Access’i Gerçek İhtiyaca Göre Kısıtlayın

Guest Access, dış kullanıcıların Teams, kanal içerikleri, dosyalar ve uygulamalar gibi kaynaklara erişmesini sağlar. Bu özellik her kurum için açık olmak zorunda değildir.

Önerilen yaklaşım:

• Kullanılmıyorsa Guest Access’i kapatın.
• Kullanılıyorsa sadece belirli ekipler ve iş süreçleri için açın.
• Eski guest hesaplarını düzenli olarak temizleyin.
• Guest kullanıcıların erişebildiği ekip, kanal, dosya ve uygulamaları periyodik olarak kontrol edin.

7. Anonymous Meeting Join Ayarlarını Kontrol Edin

External Access kısıtlansa bile, anonim toplantı katılımı açıksa dış kullanıcılar kimlik doğrulaması yapmadan toplantılara katılabilir. Bu nedenle toplantı politikaları ayrıca kontrol edilmelidir.

Önerilen yaklaşım:

• Anonymous users can join a meeting ayarını kapatın veya sadece ihtiyaç duyan kullanıcı grupları için açın.
• Hassas toplantılarda lobby kullanımını zorunlu hale getirin.
• Kritik toplantılar için “People in my organization” veya “People I invite” gibi daha kontrollü ayarlar kullanın.
• Dış katılımcıların kimlik doğrulamalı katılımı tercih edilmelidir.

8. Microsoft Defender for Office 365 Safe Links’i Teams İçin Etkinleştirin

Saldırganlar Teams mesajları üzerinden zararlı bağlantılar paylaşabilir. Bu nedenle Safe Links politikalarının Teams’i de kapsayacak şekilde etkinleştirilmesi gerekir.

Safe Links, kullanıcının bağlantıya tıkladığı anda URL kontrolü yaparak zararlı veya şüpheli bağlantıları engellemeye yardımcı olur.

Önerilen yaklaşım:

• Microsoft Defender portalında Safe Links politikalarını kontrol edin.
• Teams mesajları için time-of-click URL protection özelliğinin aktif olduğundan emin olun.
• Standard veya Strict preset security policies kullanımını değerlendirin.
• Teams içindeki zararlı URL tıklamalarını izlemek için Defender raporlarını ve hunting sorgularını kullanın.

9. ZAP for Teams Özelliğini Aktif Edin

Zero-hour auto purge, ilk anda temiz görünen ancak daha sonra zararlı olduğu anlaşılan içeriklerin geriye dönük olarak temizlenmesini sağlar.

Teams için ZAP, yüksek güvenilirlikli phishing veya malware olarak tespit edilen Teams mesajlarını sonradan engelleyebilir veya karantinaya alabilir.

Önerilen yaklaşım:

• Microsoft Defender portalında Teams Protection Policy ayarlarını kontrol edin.
• ZAP for Teams özelliğinin açık olduğundan emin olun.
• Karantina politikalarını gözden geçirin.
• Teams mesajlarına yönelik güvenlik olaylarını SOC süreçlerinize dahil edin.

10. Conditional Access ve MFA Politikalarını Sertleştirin

Harici kullanıcılar, guest hesaplar ve riskli oturumlar için Conditional Access politikaları uygulanmalıdır.

Önerilen yaklaşım:

• Harici kullanıcılar için MFA zorunlu hale getirilmeli.
• Riskli oturumlar için ek doğrulama veya erişim engelleme politikaları uygulanmalı.
• Uyumsuz cihazlardan erişim sınırlandırılmalı.
• Hassas uygulamalara erişim için compliant device veya trusted location şartları değerlendirilmelidir.

11. Kullanıcı Farkındalığı: “External” Uyarısı Hafife Alınmamalı

Bu saldırıların başarısı büyük ölçüde kullanıcının bir anlık dalgınlığına bağlıdır. Bu nedenle çalışanlara özellikle Teams üzerindeki “External” uyarısının önemi anlatılmalıdır.

Kullanıcılara şu mesaj net şekilde verilmelidir:

• Teams üzerinden gelen her dış mesaj güvenilir değildir.
• Display Name alanında yöneticinizin adı yazıyor olması mesajın gerçekten yöneticinizden geldiği anlamına gelmez.
• “External” etiketi görüldüğünde mutlaka dikkatli olunmalıdır.
• Finansal bilgi, ödeme talimatı, IBAN değişikliği, acil para transferi veya hassas dosya paylaşımı talepleri mutlaka ikinci bir kanaldan doğrulanmalıdır.
• Yönetici olduğunu söyleyen kişi Teams’ten yazıyorsa, telefon veya kurum içi doğrulanmış kanal üzerinden teyit alınmalıdır.
• Quick Assist, AnyDesk, TeamViewer gibi uzaktan erişim araçları yalnızca resmi destek süreciyle kullanılmalıdır.
• Şüpheli Teams mesajları güvenlik ekibine raporlanmalıdır.

Microsoft Teams, kurum içi ve kurumlar arası iletişim için vazgeçilmez bir platform haline geldi. Ancak dış iletişim ayarları kontrolsüz bırakıldığında, saldırganlar bu güvenilir platformu sosyal mühendislik için kullanabiliyor.

Özellikle unmanaged Microsoft hesapları üzerinden yapılan Display Name impersonation saldırıları, finans ve muhasebe ekipleri için ciddi risk oluşturuyor. Saldırganın tek yapması gereken, bir hotmail veya outlook hesabı açmak, görünen ad alanına kurum yöneticisinin ismini yazmak ve Teams üzerinden kritik çalışanlara ulaşmaya çalışmak olabilir.

Bu nedenle kurumlar Teams güvenliğini yalnızca toplantı veya mesajlaşma ayarı olarak görmemelidir. External Access, unmanaged account iletişimi, Guest Access, Anonymous Join, Safe Links, ZAP for Teams, Conditional Access ve kullanıcı farkındalığı birlikte ele alınmalıdır.

En kritik öneri şudur:

Dış iletişim ihtiyacı olmayan kurumlar unmanaged Microsoft hesaplarıyla Teams iletişimini kapatmalıdır. Dış iletişim ihtiyacı olan kurumlar ise en azından unmanaged hesapların kurum kullanıcılarına doğrudan ilk sohbeti başlatmasını engellemelidir.

Ayar değişikliği yapıldıktan sonra mevcut dış sohbetlerin de ayrıca incelenmesi unutulmamalıdır. Çünkü bazı senaryolarda yeni sohbet başlatma engellense bile daha önce başlamış görüşmeler otomatik olarak sonlanmayabilir.