Un caz publicat de Microsoft Incident Response pe 16 martie 2026 arată cât de mult s-au schimbat atacurile cibernetice: compromiterea unei organizații a început printr-un apel Teams de tip „suport IT”. Pentru companii, acesta este un semnal important că securitatea nu mai poate fi gândită doar în jurul emailului.

Atacatorul a folosit încrederea utilizatorului, urgența și un instrument legitim de acces remote pentru a obține acces inițial. Tocmai de aceea, acest tip de incident este relevant pentru orice organizație care folosește Microsoft Teams, suport la distanță și fluxuri rapide de colaborare.

Pentru mediul de business, mesajul este clar: securitatea nu mai poate fi gândită doar în jurul inboxului. Ea trebuie extinsă către toate canalele prin care oamenii colaborează zilnic.

De ce este acest tip de atac atât de periculos

Un email suspect poate fi uneori ușor de observat. Un apel de „suport” este diferit.

Vocea, tonul calm, urgența și contextul aparent legitim reduc vigilența. Când cineva pare să sune din partea IT-ului, mulți angajați reacționează instinctiv: răspund, cooperează, încearcă să rezolve problema rapid. Exact pe acest reflex se bazează atacatorii.

În cazul analizat de Microsoft, atacul nu s-a bazat în primul rând pe exploatarea unei vulnerabilități software, ci pe înșelarea utilizatorului și pe folosirea unor mecanisme legitime deja prezente în mediul de lucru. După accesul inițial, utilizatorul a fost direcționat către un site controlat de atacator și a introdus credențiale într-un formular fals, iar ulterior au fost descărcate mai multe componente malițioase.

Asta face ca astfel de incidente să fie greu de prevenit doar cu soluții clasice. Antivirusul, filtrarea de email și protecția endpoint sunt importante, dar nu suficiente atunci când vectorul de intrare este conversația aparent legitimă.

Ce se schimbă pentru companii

Pentru multe organizații, Microsoft Teams, chatul, apelurile video și suportul remote sunt deja parte din rutina zilnică. Tocmai de aceea, suprafața de atac s-a extins.

Dacă în trecut atenția era concentrată aproape exclusiv pe email și browsing, astăzi companiile trebuie să se întrebe și:

• Cine poate contacta angajații prin platformele de colaborare?
• Ce reguli există pentru interacțiunile cu utilizatori externi?
• Ce instrumente de acces remote sunt active și cine le poate folosi?
• Ce face un angajat când primește o solicitare urgentă din partea unui „coleg de la IT”?

Aceste întrebări nu sunt doar tehnice. Ele țin de procese, politici interne și cultură organizațională.

De ce Teams și platformele similare devin vectori de atac

Platformele de colaborare au trei avantaje majore pentru atacatori.

Primul este viteza. O cerere urgentă primită într-un call sau într-un chat poate produce reacții imediate, fără timpul de reflecție pe care îl ai uneori în email.

Al doilea este contextul. În multe companii, apelurile, screen sharing-ul și suportul remote sunt activități normale. Asta face ca un atac bine prezentat să nu pară ieșit din comun.

Al treilea este încrederea. Oamenii tind să creadă mai ușor o persoană care vorbește convingător decât un mesaj scris prost formulat.

Cu alte cuvinte, atacurile moderne se mută din zona „mesajelor dubioase” în zona „interacțiunilor plauzibile”. Iar asta obligă companiile să își regândească apărarea.

Ce ar trebui să verifice imediat o companie

O reacție matură nu înseamnă panică. Înseamnă control.

1. Reguli clare pentru contactele externe în Teams

Nu orice cont extern ar trebui să poată iniția liber contacte către utilizatorii din companie. Microsoft recomandă restricționarea comunicațiilor inbound din conturi Teams neadministrate și folosirea unui model de allowlist pentru domenii externe de încredere.

2. Inventarierea tool-urilor de remote access

Multe organizații au active instrumente de acces remote folosite rar, moștenite sau insuficient controlate. Microsoft recomandă revizuirea acestora și eliminarea sau dezactivarea utilitarelor care nu sunt necesare, inclusiv acolo unde Quick Assist nu are un rol clar în operațiunile companiei.

3. O procedură simplă de verificare

Orice solicitare de suport care cere acces, resetări urgente, instalări sau introducerea de credențiale ar trebui validată printr-un al doilea canal cunoscut. Nu prin răspuns direct în aceeași conversație, ci printr-un flux intern clar.

4. Awareness practic pentru utilizatori

Trainingul eficient nu trebuie să sperie și nici să fie excesiv de tehnic. El trebuie să răspundă la întrebări simple:

• Cum arată o solicitare legitimă de suport?
• Ce nu va cere niciodată echipa IT?
• Când trebuie oprită conversația și escaladat cazul?

5. Revizuirea accesului și a privilegiilor

Cu cât un utilizator poate face mai puține acțiuni sensibile fără verificări suplimentare, cu atât impactul unei erori umane scade.

Securitatea modernă înseamnă mai mult decât tehnologie

Una dintre cele mai mari greșeli în companii este să trateze securitatea exclusiv ca pe o problemă de produse: mai punem o licență, mai activăm o funcție, mai instalăm un tool.

În realitate, securitatea eficientă apare atunci când tehnologia, procesele și comportamentul utilizatorilor lucrează împreună.

Ai nevoie de soluții tehnice bune, desigur. Dar la fel de mult ai nevoie de:

• reguli clare,
• acces controlat,
• suport IT predictibil,
• scenarii de răspuns bine definite,
• utilizatori care știu când să spună „stop”.

Atunci când aceste elemente lipsesc, un atac banal ca aparență poate deveni un incident costisitor.

Ce înseamnă asta pentru leadership

Pentru management, subiectul nu este doar unul de securitate IT. Este un subiect de continuitate operațională.

Un incident pornit dintr-un apel fals poate însemna:

• întreruperi de activitate,
• blocaje în lucru,
• afectarea datelor,
• costuri de remediere,
• presiune reputațională,
• timp pierdut de echipele interne.

De aceea, întrebarea utilă pentru orice companie nu este „suntem 100% protejați?”, ci „cât de repede poate fi exploatată încrederea oamenilor noștri și cât de bine limităm impactul dacă se întâmplă?”.

Aceasta este diferența dintre o organizație care reacționează după incident și una care își construiește prevenția în mod matur.

La One-IT, credem că securitatea eficientă pentru business înseamnă claritate, control și continuitate. Nu doar reacție când apare o problemă, ci măsuri aplicate înainte ca problema să apară.

Pentru a identifica vulnerabilitățile din infrastructura IT și pașii potriviți pentru reducerea riscurilor, completați acest formular, iar echipa noastră vă va contacta în cel mai scurt timp.

* Sursa: Microsoft Security Blog – „Help on the line: How a Microsoft Teams support call led to compromise”

• Despre
• Ultimele Postari

Gabriela

ONE-IT - Smart technologies, Cyber Security, Cloud, integrated IT solutions for business productivity.
Detalii despre noi: echipa One-IT

Ultimele postari ale lui Gabriela (vezi toate)

• Apelurile false de suport IT în Microsoft Teams: un nou risc pentru companii - 27 martie 2026
• Apple aduce mai multă valoare în ecosistem: iPhone 17e și noul iPad Air cu M4 - 18 martie 2026
• Microsoft a anunțat Copilot Cowork: un Agent AI care face treaba, nu doar răspunde - 10 martie 2026