Pozor na podvodné aplikace! Phisheři se snaží obcházet Office365 MFA

Každodenní metody phishingu se stále ukazují jako nejefektivnější způsob, jak proniknout do organizace skrz všechny ochranné mechanismy. Útok je cílen na uživatele, kteří už mají nějaké povědomí o bezpečnosti, kontrolují název domény v URL a není jednoduché je nachytat triviálním e-mailem s odkazem... Zároveň mají nastavenou vyšší úroveň autentifikace, takže je i šance, že se může jednat o uživatele s vyššími oprávněními.

Útok začíná nevinně

Phisheři obchází ochranu vícefaktorové autentizace (MFA) na uživatelských účtech Office 365 tak, že ji přimějí, aby udělila povolení jejich podvodné aplikaci. Tato aplikace pak umožňuje útočníkům přístup a úpravu nastavení účtu oběti a zároveň si tento přístup ponechává na dobu neurčitou.

Útok začíná e-mailem s pozvánkou, která nasměruje potenciální oběti do souboru hostovaného na Microsoft SharePoint. Název dokumentu většinou hlásí, že příjemce e-mailu obdrží bonus/odměnu za první kvartál.

Uživatelům, kteří na odkaz kliknou, se zobrazí legitimní přihlašovací stránka Microsoft Office 365. Jen ti, kteří jsou dostatečně pečliví na kontrolu adresy URL, zaregistrují něco neobvyklého (pokud ví, co hledat):

Dlouhá adresa URL obsahuje několik parametrů, které ukazují, že zadáním přihlašovacích údajů a stisknutím tlačítka přihlášení uživatel „požádá“ platformu Microsoft Identity o token ID a autorizační kód, který bude zaslán k maskování jiných domén jako legitimní entity Office 365. Ukazuje také, že aplikace, pro kterou je žádost podána, získá povolení k přístupu k účtu oběti, ke čtení a úpravám jejího obsahu (dokumenty, soubory) a použití souvisejících zdrojů, k přístupu a použití kontaktů oběti a tento přístup neomezeně prodlouží.

Jak? Výše uvedený autorizační kód je vyměněn za přístupový token, který je prezentován podvodnou aplikací do Microsoft Graph, která jej autorizuje.

Co s tím?

OAuth2 je důležitým příkladem protikladné adaptace. Není třeba kompromitovat pověření, jsou to sami uživatelé, kteří nevědomky schvalují útočníkovi přístup k jejich účtům. Jakmile útočník dostane přístup k účtu přes danou aplikaci, je nutné tuto aplikaci opět zrušit, změnit heslo. Nikdy však nemáme jistotu, co daný útočník za tu dobu udělal a co jiného modifikoval…

Určitě je potřeba ověřit, že nevypnul MFA či jiná bezpečnostní nastavení.

Co z toho vyplývá? NIKOMU nevěřte, čtěte, přemýšlejte a na nic neklikejte – hlavně tam, kde vám přijde něco, co neočekáváte – třeba prémie!

Další články z blogu

7. 5. 2021
Čínští hackeři útočí na vojenské organizace pomocí nového backdooru!

Útočníci, u nichž existuje podezření, že mají vazby na Čínu, stojí podle nového výzkumu za rozsáhlou kybernetickou špionážní kampaní zaměřenou...

Přečíst
22. 4. 2021
Obhájili jsme certifikaci ISO 27001

Opět jsme obhájili certifikaci ISO 27001, kterou jsme rozšířili na celé ICT datové centrum Silo a záložní lokalitu datového centra...

Přečíst
13. 4. 2021
NWT je držitelem hned několika partnerství společnosti Microsoft

Společnost Microsoft potvrzuje, že společnost NWT a.s. je s platností do 30. 3. 2022 držitelem následujících partnerství společnosti Microsoft: Gold Datacenter,...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram