Microsoft upozorava na phishing e-poruke

PHISHING NAPAD

26 siječnja, 2022

Microsoft upozorava da korisnici Office 365 primaju phishing e-poruke koje imaju za cilj da ih navedu da daju OAuth dozvole lažnoj aplikaciji koja potom dozvoljava napadačima da čitaju i pišu e-poštu.

Microsoftov tim za obavještajnu sigurnost upozorio je ove sedmice da napadači šalju OAuth phishing e-poruke "stotinama" Office 365 korisnika.

Potencijalno zlonamjerna aplikacija, nazvana 'Upgrade', traži od korisnika da joj dodijele OAuth dozvole koje bi omogućile napadačima da kreiraju pravila za prijemno sanduče. Čitaju i pišu e-poštu i stavke kalendara, te čitaju kontakte, prema Microsoft Security Intelligence.

Ciljevi bi vidjeli obavijest u kojoj se traži da aplikaciji daju različite dozvole. Kao što su čitanje i pisanje vaših datoteka, čitanje kalendara i tako dalje.

OAuth standard podržavaju dobavljači oblaka i identiteta. Uključujući Google, Twitter, Facebook i Microsoft, kao način da korisnici daju aplikacijama trećih strana pristup informacijama o nalogu i podacima unutar aplikacija ovih kompanija.

OAuth su u prošlosti zloupotrebljavali napadači. Ovaj trend je natjerao Google da uvede strože zahtjeve za verifikaciju za programere koji ga koriste za povezivanje s Google aplikacijama.

"Poruke za krađu identiteta dovode korisnike u zabludu da aplikaciji daju dozvole koje bi mogle omogućiti napadačima da kreiraju pravila za prijemno sanduče, čitaju i pišu e-poštu i stavke kalendara i čitaju kontakte. Microsoft je deaktivirao aplikaciju u Azure AD i obavijestio pogođene kupce," rekli su iz Microsofta. tweet

Korisnik Twittera i lovac na prijetnje @ffforward prijavio je OAuth phishing kampanju Microsoftu. Aplikacija Upgrade je navedena kao da dolazi od verifikovanog izdavača Counseling Services Yuma PC, prema @ffforward. Ista aplikacija za nadogradnju se ranije nudila korisnicima Office 365, ali putem neprovjerenog naloga.

Microsoft je nedavno rekao da su e-mailovi za krađu pristanka ili "nedozvoljeni pristanak" koji zloupotrebljavaju OAuth zahtjeve u stalnom porastu u posljednjih nekoliko godina.

Krađa identiteta pristanka je alternativa za napadače phishingu vjerodajnica. Umjesto hvatanja lozinki sa stranicama za prijavu na phishing, napadači koriste ekrane sa zahtjevima za OAuth dozvolu. Kako bi namamili žrtve da daju pristupne tokene koji daju podatke o računu napadača iz povezanih aplikacija. U ovom scenariju, prijavom upravlja dobavljač identiteta, kao što je Microsoft ili Google, a ne krajnji korisnik. Unatoč nedostatku lozinke, napadač i dalje može učiniti stvari poput postavljanja pravila za prosljeđivanje e-pošte. To je sa cilja na račun e-pošte koji kontrolira napadač, postavljajući temelje za buduće napade.

"U većini slučajeva, napadi phishing-a pristankom ne uključuju krađu lozinke, jer tokeni za pristup ne zahtijevaju poznavanje korisničke lozinke, ali napadači su i dalje u mogućnosti ukrasti povjerljive podatke i druge osjetljive informacije. Napadači tada mogu održati upornost u ciljnoj organizaciji i izvršite izviđanje kako biste dodatno kompromitovali mrežu", napominje Microsoft.