Microsoft Teams doda „Report a Call”: zgłaszanie podejrzanych połączeń jako nowy sygnał dla SOC - Security Bez Tabu

Microsoft Teams doda „Report a Call”: zgłaszanie podejrzanych połączeń jako nowy sygnał dla SOC

Wprowadzenie do problemu / definicja „luki”

Ataki socjotechniczne coraz częściej omijają klasyczne filtry antyphishingowe, przenosząc ciężar z e-maila do kanałów współpracy: czatów, spotkań i… połączeń VoIP. Rozmowa „rzekomo z IT”, „z banku” czy „z dostawcy” bywa trudniejsza do zweryfikowania niż wiadomość z linkiem – zwłaszcza gdy presja czasu i autorytet rozmówcy robią swoje.

Microsoft odpowiada na ten trend, dodając do Teams mechanizm umożliwiający użytkownikom zgłoszenie podejrzanego połączenia wprost z historii rozmów.

W skrócie

  • Teams dostanie funkcję „Report a Call”, pozwalającą oznaczać połączenia jako podejrzane / niechciane (scam, phishing).
  • Opcja ma być dostępna w historii połączeń dla rozmów 1:1 na Windows, macOS i w wersji web.
  • Raportowanie będzie włączone domyślnie, a administratorzy będą mogli je wyłączyć w Teams Admin Center → Calling settings.
  • Zgłoszenie udostępni ograniczone metadane (m.in. czas, długość, caller ID, identyfikatory uczestników) organizacji oraz Microsoftowi; dane mają być widoczne w Microsoft Defender portal lub w Teams Admin Center.
  • Harmonogram wg opisu wdrożenia: Targeted Release w połowie marca 2026, zakończenie w końcówce marca, GA globalnie do końca kwietnia 2026.

Kontekst / historia / powiązania

Nowa opcja raportowania wpisuje się w szerszy pakiet zabezpieczeń „na warstwie współpracy”. Microsoft równolegle rozwija mechanizmy ostrzegania o podejrzanych połączeniach od nieznanych, zewnętrznych kontaktów (scenariusze podszywania się pod markę / instytucję). Przykładem jest „Brand Impersonation Protection”, które ma wykrywać próby podszycia przy pierwszym kontakcie i ostrzegać użytkownika o ryzyku.

W praktyce to logiczna ewolucja: skoro Teams stał się „nową skrzynką odbiorczą” dla wielu firm, to telemetryka i procesy reagowania muszą objąć nie tylko czat, ale też kanał głosowy.

Analiza techniczna / szczegóły funkcji

Gdzie użytkownik zobaczy opcję?

„Report a Call” ma pojawić się w historii połączeń dla rozmów jeden na jeden. Użytkownik wybierze zgłoszenie z menu More options przy danym połączeniu.

Jakie dane trafiają do organizacji i Microsoftu?

Zgłoszenia mają przekazywać ograniczone metadane, m.in.:

  • znaczniki czasu,
  • czas trwania połączenia,
  • informacje caller ID,
  • identyfikatory Teams uczestników.

To ważne: mowa o metadanych „pod triage”, a nie o deklaracji, że treść rozmów jest automatycznie przechwytywana. Dla SOC oznacza to dodatkowy sygnał korelacyjny (kto dzwonił, kiedy, jak często, do ilu osób).

Gdzie analitycy to zobaczą?

  • Organizacje z licencjami Defender for Office 365 Plan 1/Plan 2 lub Defender XDR mają otrzymać bardziej szczegółowy wgląd w Defender portal.
  • Bez tych licencji pozostanie podstawowy wgląd w Teams Admin Center (raporty ochrony / Protection Reports).

Praktyczne konsekwencje / ryzyko

Co to realnie poprawia?

  1. Szybszy sygnał od użytkownika – zamiast „napiszcie do IT”, zgłoszenie staje się danymi do korelacji i raportowania trendów.
  2. Widoczność w SOC – nawet jeśli atak „nie zostawił linku”, nadal zostawia metadane i ślad zdarzenia w ekosystemie bezpieczeństwa.

Ryzyka wdrożeniowe

  • Szum operacyjny: jeśli użytkownicy zaczną zgłaszać wszystko, SOC dostanie „spam zgłoszeń”.
  • Fałszywe poczucie bezpieczeństwa: ostrzeżenia i przycisk zgłoszenia nie zastąpią procedur weryfikacji tożsamości rozmówcy.
  • Prywatność i governance: nawet metadane połączeń to dane wrażliwe organizacyjnie – trzeba je objąć polityką retencji, dostępów i audytu.

Rekomendacje operacyjne / co zrobić teraz

  1. Zdefiniuj playbook dla „podejrzanego połączenia”
    • kryteria: podszywanie pod IT/finanse, prośby o MFA, reset hasła, instalację narzędzia zdalnego dostępu, presja czasu;
    • działania: weryfikacja rozmówcy kanałem niezależnym, zgłoszenie incydentu, kontrola konta użytkownika (logowania, anomalie).
  2. Ustal triage i priorytetyzację
    • reguły korelacji: czy numer/konto dzwoniło do wielu osób, czy występuje wzorzec w czasie, czy są równoległe alerty (np. nietypowe logowania).
  3. Przygotuj komunikację dla pracowników
    • krótko: kiedy zgłaszać, kiedy kończyć rozmowę, czego nigdy nie podawać;
    • pokaż przykłady „pretekstów” w voice-phishingu.
  4. Sprawdź ustawienia w Teams Admin Center
    • skoro funkcja ma być domyślnie włączona, decyzja powinna być świadoma (pozostawić i okiełznać procesem, albo wyłączyć z uzasadnieniem).
  5. Jeśli masz Defender – zintegruj to z pracą SOC
    • przypisz odpowiedzialność (kto monitoruje nowe zgłoszenia),
    • zrób dashboard trendów i kampanii (miesiąc do miesiąca).

Różnice / porównania z innymi przypadkami

W Teams od pewnego czasu rozwijane jest też raportowanie podejrzanych wiadomości („Report this message”), które trafia do analizy po stronie bezpieczeństwa i przyspiesza wykrywanie zagrożeń w warstwie konwersacji.

Kluczowa różnica:

  • Wiadomości: często zawierają linki/załączniki → łatwiej o automatyczną analizę treści.
  • Połączenia: treści nie ma w zgłoszeniu, więc wartość leży w metadanych + korelacji + szybkości reakcji. Dlatego tak istotne jest, by playbook SOC nie opierał się wyłącznie na „kliknięciu zgłoś”, ale na szybkiej weryfikacji kontekstu i aktywności konta.

8Podsumowanie / kluczowe wnioski

„Report a Call” w Teams to mała zmiana w UI, ale duża zmiana w praktyce: użytkownik staje się czujnikiem, a SOC dostaje nowy sygnał o kampaniach socjotechnicznych prowadzonych głosem. Najwięcej zyskają organizacje, które:

  • połączą zgłoszenia z korelacją w Defender (jeśli mają licencje),
  • ograniczą szum jasnym szkoleniem i prostym playbookiem,
  • potraktują tę funkcję jako element strategii „secure collaboration”, obok ostrzeżeń o podszywaniu się pod marki.

Źródła / bibliografia

  • BleepingComputer: „New Microsoft Teams feature will let you report suspicious calls” (29 stycznia 2026). (BleepingComputer)
  • Microsoft 365 Roadmap: pozycja „Microsoft Teams: Report a Suspicious Call in Microsoft Teams” (status i daty na roadmapie). (Microsoft)
  • Microsoft Learn: „Microsoft Defender for Office 365 support for Microsoft Teams” (możliwości bezpieczeństwa i raportowania w Teams). (Microsoft Learn)
  • Microsoft Tech Community (Defender for Office 365 Blog): „Safeguarding Microsoft Teams…” (kontekst raportowania zagrożeń w Teams). (TECHCOMMUNITY.MICROSOFT.COM)
  • Windows Central: opis „Brand Impersonation Protection” i ostrzeżeń o podszywaniu się w połączeniach Teams (27 stycznia 2026). (Windows Central)