Pozor na podvodné aplikace! Phisheři se snaží obcházet Office365 MFA

Každodenní metody phishingu se stále ukazují jako nejefektivnější způsob, jak proniknout do organizace skrz všechny ochranné mechanismy. Útok je cílen na uživatele, kteří už mají nějaké povědomí o bezpečnosti, kontrolují název domény v URL a není jednoduché je nachytat triviálním e-mailem s odkazem... Zároveň mají nastavenou vyšší úroveň autentifikace, takže je i šance, že se může jednat o uživatele s vyššími oprávněními.

Útok začíná nevinně

Phisheři obchází ochranu vícefaktorové autentizace (MFA) na uživatelských účtech Office 365 tak, že ji přimějí, aby udělila povolení jejich podvodné aplikaci. Tato aplikace pak umožňuje útočníkům přístup a úpravu nastavení účtu oběti a zároveň si tento přístup ponechává na dobu neurčitou.

Útok začíná e-mailem s pozvánkou, která nasměruje potenciální oběti do souboru hostovaného na Microsoft SharePoint. Název dokumentu většinou hlásí, že příjemce e-mailu obdrží bonus/odměnu za první kvartál.

Uživatelům, kteří na odkaz kliknou, se zobrazí legitimní přihlašovací stránka Microsoft Office 365. Jen ti, kteří jsou dostatečně pečliví na kontrolu adresy URL, zaregistrují něco neobvyklého (pokud ví, co hledat):

Dlouhá adresa URL obsahuje několik parametrů, které ukazují, že zadáním přihlašovacích údajů a stisknutím tlačítka přihlášení uživatel „požádá“ platformu Microsoft Identity o token ID a autorizační kód, který bude zaslán k maskování jiných domén jako legitimní entity Office 365. Ukazuje také, že aplikace, pro kterou je žádost podána, získá povolení k přístupu k účtu oběti, ke čtení a úpravám jejího obsahu (dokumenty, soubory) a použití souvisejících zdrojů, k přístupu a použití kontaktů oběti a tento přístup neomezeně prodlouží.

Jak? Výše uvedený autorizační kód je vyměněn za přístupový token, který je prezentován podvodnou aplikací do Microsoft Graph, která jej autorizuje.

Co s tím?

OAuth2 je důležitým příkladem protikladné adaptace. Není třeba kompromitovat pověření, jsou to sami uživatelé, kteří nevědomky schvalují útočníkovi přístup k jejich účtům. Jakmile útočník dostane přístup k účtu přes danou aplikaci, je nutné tuto aplikaci opět zrušit, změnit heslo. Nikdy však nemáme jistotu, co daný útočník za tu dobu udělal a co jiného modifikoval…

Určitě je potřeba ověřit, že nevypnul MFA či jiná bezpečnostní nastavení.

Co z toho vyplývá? NIKOMU nevěřte, čtěte, přemýšlejte a na nic neklikejte – hlavně tam, kde vám přijde něco, co neočekáváte – třeba prémie!

Další články z blogu

8. 11. 2023
Hacker Fest 2023

7. listopadu se konal již několikátý ročník skvělé akce GOPASu, na které bylo velmi zajímavé obsazení přednášejících i témat, které...

Přečíst
20. 9. 2023
Náš etický hacker přednášel na konferenci Kybernetická bezpečnost 2023

13. září se v prostorách budovy NWT ve Zlíně konala odborná konference Kybernetická bezpečnost - řízení procesů a aplikace moderních...

Přečíst
11. 9. 2023
 Chráníte vaše firemní mobilní zařízení? Buďte o krok napřed s GravityZone Security for Mobile

 E-maily jsou nejčastějším cílem phishingových útoků. Více než 60 % e-mailů je otevřeno na mobilních zařízeních. V mžiku můžete přijít...

Přečíst
(c) 2023 ICT NWT s.r.o.
menu-circlecross-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram