Серджиу Гатлан

  • 5 февраля 2021 г.
  • 12:07 вечера

Microsoft предупреждает об участившихся фишинговых атаках OAuth Office 365

Microsoft предупредила о росте числа фишинговых атак по согласию (также известных как фишинг OAuth), направленных на удаленных сотрудников, в последние месяцы, как стало известно BleepingComputer.

Эти атаки были частью двух кампаний, которые проводились в период с сентября по декабрь 2020 года и нацелены на жертвы несколькими повторяющимися волнами.

Одна из двух атак была специально нацелена на испаноязычных жертв с помощью ссылок OAuth и приманок, выдавая себя за службу налоговой администрации Мексики. Servicio de Administración Tributaria (SAT). дважды, в сентябре и октябре.

В период с октября по декабрь фишинговая активность второго многократно увеличивалась, изрыгая финансовые приманки против «инвестиционных команд» организаций.

Злоумышленники, стоящие за этими атаками, злоупотребляли поставщиками облачных услуг или использовали ранее взломанные домены для доставки своих фишинговых писем. URL-адреса OAuth перенаправляли потенциальных жертв в домены, принадлежащие злоумышленнику, для отображения запроса аутентификации.

Microsoft опубликовала это предупреждение в частном информационном сообщении по безопасности, которое было предоставлено подписчикам Microsoft Defender ATP в конце января.

Что такое фишинг согласия?

Фишинг по согласию (также известный как фишинг OAuth). это вариант атаки на основе приложений, при котором злоумышленники пытаются обманом заставить цели предоставить вредоносным приложениям Office 365 OAuth (веб-приложениям, зарегистрированным злоумышленниками у поставщика OAuth 2.0) доступ к их учетным записям Office 365.

READ  Новое приложение Microsoft от Microsoft доступно всем пользователям Windows 10

Как только жертвы предоставляют вредоносным приложениям разрешения на доступ к данным своей учетной записи, злоумышленники набрасываются на их доступ и обновляют токены.

Они позволяют им захватить учетные записи Майкрософт целей и выполнять вызовы API через контролируемое злоумышленником вредоносное приложение Office 365 OAuth.

Скомпрометированные учетные записи Office 365 предоставляют злоумышленникам доступ к электронной почте, файлам, контактам жертв, а также к конфиденциальной информации и ресурсам, хранящимся в корпоративных системах управления / хранения документов SharePoint и / или облачных хранилищах OneDrive для бизнеса.

«После того, как жертвы нажимали на вводящие в заблуждение ссылки, им в конечном итоге предлагалось предоставить права доступа к вредоносному веб-приложению (веб-приложению)». пояснил корпоративный вице-президент Microsoft по обеспечению безопасности клиентов Том Берт.

«Жертва не знала, что эти вредоносные веб-приложения контролировались преступниками, которые, получив разрешение обманным путем, могли получить доступ к учетной записи Microsoft Office 365 жертвы».

BleepingComputer сообщил о внутренней работе фишинг-атаки согласия в декабре 2019 года, показывая, как злоумышленники могут взломать учетные записи Office 365.

Согласие на предупреждения о фишинге

Microsoft предупредила о переходе фишеров на новые типы тактики фишинга, такие как фишинг согласия, в июле 2020 года, добавив к другим, более традиционным направлениям фишинга, таким как фишинг электронной почты и атаки кражи учетных данных.

READ  Анонсирована интегрированная система Dell EMC для Microsoft Azure Stack HCI

В то время несколько фишинговых кампаний запускали фишинговые атаки согласия на клиентов Microsoft, которые пытались взять под контроль их учетные записи, красть конфиденциальные данные, а затем использовали их для обмана организаций в схемах мошенничества с компрометацией деловой электронной почты (BEC).

Microsoft подала в суд и демонтировала часть инфраструктуры атаки, отключив шесть доменов, которые использовались для размещения вредоносных приложений 365 OAuth, которые использовались для взлома учетных записей клиентов Office 365.

Кроме того, компания выявила и отключила вредоносные приложения OAuth для Office 365, чтобы заблокировать доступ пользователей к ним и захват их учетных записей.

Начиная с октября 2020 года Microsoft объявила, что средства защиты от фишинга согласия Office 365 общедоступны, включая политики согласия приложений и проверку издателя приложения OAuth.

В прошлом году ФБР также предупредило о мошенниках BEC, злоупотребляющих облачными почтовыми сервисами, такими как Microsoft Office 365 и Google G Suite, в уведомлениях частного сектора, опубликованных в марте и апреле.

Меры защиты

Клиенты Microsoft могут проверить, привязаны ли к их учетным записям какие-либо приложения или службы согласия пользователей, перейдя на панель управления диспетчером согласия своей учетной записи.

Чтобы удалить любое из перечисленных согласий, вы должны щелкнуть его запись и на открывшейся странице нажать кнопку «Удалить эти разрешения», чтобы удалить его.

Организации также могут принимать меры для защиты своих удаленных сотрудников от фишинга OAuth, требуя использования приложений, подтвержденных издателем, обучая сотрудников тому, как определять тактики фишинга согласия, и разрешать доступ только к приложениям OAuth, которым доверяет организация или которые предоставляются проверенными издателями.

Работодатели также могут обучать сотрудников тому, как работают разрешения Microsoft и структура согласия:

READ  Realme 5i с четырьмя задними камерами, батарея емкостью 5000 мАч запускается в Индии за 8 999 фунтов стерлингов ($ 126), Android

Понять, какие данные и разрешения запрашивает приложение, и понять, как разрешения и согласие работают на нашей платформе.
Убедитесь, что администраторы знают, как управлять запросами согласия и оценивать их.
Проверяйте приложения и согласованные разрешения в вашей организации, чтобы убедиться, что используемые приложения получают доступ только к тем данным, которые им нужны, и соблюдают принципы наименьших привилегий.

Подробные сведения о том, как защититься от угроз безопасности, можно найти в грантах Microsoft на обнаружение и устранение незаконного согласия в Office 365 и в документации по поддержке инфраструктуры пяти шагов по обеспечению безопасности.

Источник

NET.Гаджет 2021