攻擊者假冒IT支援人員，透過Microsoft Teams發動社交工程攻擊

研究人員舉例，攻擊者可能透過Teams傳送外部聊天邀請，聲稱使用者帳號出現異常，要求對方核准多因素驗證（MFA）請求，或依指示重設憑證。由於訊息出現在Teams而非電子郵件，員工可能降低戒心，因為即使系統顯示對方為外部使用者，仍可能接受對話並依指示操作。

這類手法並非個案。Palo Alto Networks曾揭露Cloaked Ursa（APT29）利用遭入侵的帳號，透過Teams散布惡意連結，將使用者引導至仿冒Microsoft登入頁面的釣魚網站。Google Cloud旗下Mandiant追蹤的UNC6692，也曾透過Teams假冒IT服務臺人員，誘導目標員工接受來自外部的對話（chat）邀請。

在防護措施上，Unit 42與微軟建議企業收緊Teams外部通訊設定，只允許可信任網域聯繫內部員工，並阻止未受管理或個人版Teams帳號主動發起對話；若涉及遠端支援連線，也應搭配條件式存取機制，納入裝置合規性檢查或身分驗證要求。