Microsoft Bookings, одна из популярных функций в Microsoft 365, может представлять угрозу безопасности для компаний, так как позволяет пользователям создавать учётные записи в Entra без необходимости административных прав. По данным компании Cyberis, это открывает возможности для злоумышленников, которые могут создать фальшивую учётную запись, замаскированную под настоящего сотрудника, и использовать её для внутренних фишинговых атак или манипуляций с внешними партнёрами.
Если злоумышленник получает доступ к аккаунту сотрудника в Microsoft 365, он может использовать возможность создания общих страниц бронирования для имитации влиятельных лиц внутри компании, например, гендиректора или финансового менеджера. Таким образом, атакующий может вводить сотрудников в заблуждение и организовать перевод денежных средств.