ГлавнаябезопасностьФишинговая кампания нарушает учетные записи Office 365 через приложение OAuth

Фишинговая кампания нарушает учетные записи Office 365 через приложение OAuth

Следователи обнаружили новый фишинг кампания используя один e-mail на Coinbase. Целью хакеров, стоящих за кампанией, является установка приложения Office 365, которое дает злоумышленникам доступ в электронном письме жертвы.

Приложение Office 365 OAuth

Уже год киберпреступники часто его используют Microsoft Приложения Office 365 OAuth, как часть их фишинговых атак.

Приложения Office 365 Oauth позволяют третьим лицам доступ к учетной записи пользователя для выполнения действий от его имени. Эти приложения используются для законные цели (например, фильтрация спама, сканирование на вирусы и т. д.).

Фишинговые письма используют Coinbase для продвижения приложения 365 Oauth

Вредоносные хакеры пытаются использовать эти легальные приложений проводить атаки.

В недавней фишинг-кампании жертвы получают электронная почта должен уведомить "Новые условия обслуживания«Пользователи Coinbase должны прочитать и принять, чтобы продолжить использование сервиса.

Если жертва нажимает на ссылку "Прочтите и примите Условия использования", Будет перенесено на юридическую страницу Microsoft и вам будет предложено войти в свою учетную запись. URL-адрес запрашивает следующие разрешения для целевой учетной записи: User.Read, Mail.Read и Mail.ReadWrite.

Если пользователь войдет в учетную запись через эту страницу Microsoft, он увидит сообщение, предлагающее ему разрешить приложению из coinbaseterms.app доступ к его аккаунту.

Согласно Пищевой компьютер, если пользователь принимает запрос приложения, токен будет отправлен разработчику приложения безопасности, связанный с пользователем. Этот токен позволяет злоумышленникам получить доступ к учетной записи Office 365 жертвы с серверов и приложений им.

Фишинг

Тогда хакеры могут что-то делать или видеть данные на основе прав приложения Oauth:

  • User.read: позволяет подключаться к приложению и читать профили вошедших в систему пользователей. Он также позволяет просматривать основную корпоративную информацию для онлайн-пользователей.
  • Mail.Read: позволяет приложению читать электронную почту.
  • Mail.ReadWrite: позволяет приложению создавать, читать, обновлять и удалять электронные письма пользователей. Не включает авторизацию по электронной почте.

Как мы уже говорили выше, οι Хакеры не может отправлять электронные письма от имени пользователя, но с правильным Mail.ReadWrite может обновить черновик сообщения, созданный пользователь. Это означает, что они могут изменять содержимое электронного письма для проведения атак BEC или дальнейшего фишинга. нападки.

Проверьте приложения OAuth

Если вы являетесь пользователем Office 365, вы можете проверить, есть ли приложения, подключенные к учетным записям, и удалить их.

Агентства также могут принимать различные меры для защиты сотрудников, работающих от σπίτι. Эти шаги включают обучение сотрудников обнаружению таких приемов, использованию надежных приложений Oauth и т.д.

Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!
spot_img

ЖИВЫЕ НОВОСТИ