ΑρχικήsecurityPhishing εκστρατεία παραβιάζει Office 365 accounts μέσω OAuth app

Phishing εκστρατεία παραβιάζει Office 365 accounts μέσω OAuth app

Ερευνητές ασφαλείας ανακάλυψαν μια νέα phishing εκστρατεία που χρησιμοποιεί ένα email με θέμα την Coinbase. Στόχος των hackers πίσω από την εκστρατεία, είναι η εγκατάσταση μιας εφαρμογής του Office 365, που δίνει στους επιτιθέμενους πρόσβαση στο email του θύματος.

Office 365 OAuth app

Εδώ και ένα χρόνο, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά Microsoft Office 365 OAuth apps, ως μέρος των phishing επιθέσεων τους.

Τα Office 365 Oauth apps επιτρέπουν σε τρίτους να έχουν πρόσβαση στο λογαριασμό ενός χρήστη για να εκτελούν ενέργειες εκ μέρους του. Αυτές οι εφαρμογές χρησιμοποιούνται για νόμιμους σκοπούς (π.χ. φιλτράρισμα ανεπιθύμητων μηνυμάτων, σάρωση προστασίας από ιούς κλπ).

Τα phishing emails εκμεταλλεύονται την Coinbase για να προωθήσουν ένα 365 Oauth app

Οι κακόβουλοι hackers προσπαθούν να εκμεταλλευτούν αυτές τις νόμιμες εφαρμογές για να πραγματοποιήσουν επιθέσεις.

Στην πρόσφατη phishing εκστρατεία, τα θύματα λαμβάνουν emails που υποτίθεται γνωστοποιούν “Νέους όρους υπηρεσίας” που οι χρήστες της Coinbase πρέπει να διαβάσουν και να αποδεχτούν για να συνεχίσουν να χρησιμοποιούν την υπηρεσία.

Εάν το θύμα κάνει κλικ στον σύνδεσμο “Διαβάστε και αποδεχτείτε τους Όρους Παροχής Υπηρεσιών“, θα μεταφερθεί σε μια νόμιμη σελίδα της Microsoft και θα κληθεί να συνδεθεί στο λογαριασμό του. Η διεύθυνση URL ζητά τα εξής δικαιώματα στον λογαριασμό του στόχου: User.Read, Mail.Read και Mail.ReadWrite.

Εάν ο χρήστης συνδεθεί στον λογαριασμό μέσω αυτής της σελίδας της Microsoft, θα δει ένα μήνυμα που του λέει να επιτρέψει τη λειτουργία μιας εφαρμογής από το coinbaseterms.app, η οποία θα έχει πρόσβαση στον λογαριασμό του.

Σύμφωνα με το Bleepingcomputer, εάν ο χρήστης αποδεχτεί το αίτημα της εφαρμογής, θα αποσταλεί στον προγραμματιστή της εφαρμογής ένα token ασφαλείας, που σχετίζεται με τον χρήστη. Αυτό το token επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση στο λογαριασμό Office 365 του θύματος από τους servers και τις εφαρμογές τους.

Phishing

Στη συνέχεια, hackers μπορούν να κάνουν πράγματα ή να δουν δεδομένα με βάση τα δικαιώματα του Oauth app:

  • User.read: Επιτρέπει τη σύνδεση στην εφαρμογή και την ανάγνωση του προφίλ των συνδεδεμένων χρηστών. Επιτρέπει, επίσης, την ανάγνωση βασικών εταιρικών πληροφοριών για συνδεδεμένους χρήστες.
  • Mail.Read: Επιτρέπει στην εφαρμογή την ανάγνωση email.
  • Mail.ReadWrite: Επιτρέπει στην εφαρμογή τη δημιουργία, ανάγνωση, ενημέρωση και διαγραφή email του χρήστη. Δεν περιλαμβάνει άδεια αποστολής email.

Όπως είπαμε και παραπάνω, οι hackers δεν μπορούν να στείλουν emails εκ μέρους του χρήστη, αλλά με το δικαίωμα Mail.ReadWrite μπορούν να ενημερώσουν ένα πρόχειρο μήνυμα που έχει δημιουργηθεί από τον χρήστη. Αυτό σημαίνει ότι μπορούν να αλλάξουν το περιεχόμενο ενός email για να πραγματοποιήσουν BEC επιθέσεις ή περαιτέρω phishing επιθέσεις.

Έλεγχος για OAuth apps

Εάν είστε χρήστης του Office 365, μπορείτε να ελέγξετε αν υπάρχουν συνδεδεμένες εφαρμογές με τους λογαριασμούς και να τις καταργήσετε.

Οι οργανισμοί μπορούν, επίσης, να λάβουν διάφορα μέτρα για να προστατεύσουν τους υπαλλήλους που εργάζονται από το σπίτι. Αυτά τα βήματα περιλαμβάνουν την εκπαίδευση των υπαλλήλων στην ανίχνευση τέτοιων τεχνικών, τη χρήση αξιόπιστων Oauth apps κλπ.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS