Pozor na podvodné aplikace! Phisheři se snaží obcházet Office365 MFA

Každodenní metody phishingu se stále ukazují jako nejefektivnější způsob, jak proniknout do organizace skrz všechny ochranné mechanismy. Útok je cílen na uživatele, kteří už mají nějaké povědomí o bezpečnosti, kontrolují název domény v URL a není jednoduché je nachytat triviálním e-mailem s odkazem... Zároveň mají nastavenou vyšší úroveň autentifikace, takže je i šance, že se může jednat o uživatele s vyššími oprávněními.

Útok začíná nevinně

Phisheři obchází ochranu vícefaktorové autentizace (MFA) na uživatelských účtech Office 365 tak, že ji přimějí, aby udělila povolení jejich podvodné aplikaci. Tato aplikace pak umožňuje útočníkům přístup a úpravu nastavení účtu oběti a zároveň si tento přístup ponechává na dobu neurčitou.

Útok začíná e-mailem s pozvánkou, která nasměruje potenciální oběti do souboru hostovaného na Microsoft SharePoint. Název dokumentu většinou hlásí, že příjemce e-mailu obdrží bonus/odměnu za první kvartál.

Uživatelům, kteří na odkaz kliknou, se zobrazí legitimní přihlašovací stránka Microsoft Office 365. Jen ti, kteří jsou dostatečně pečliví na kontrolu adresy URL, zaregistrují něco neobvyklého (pokud ví, co hledat):

Dlouhá adresa URL obsahuje několik parametrů, které ukazují, že zadáním přihlašovacích údajů a stisknutím tlačítka přihlášení uživatel „požádá“ platformu Microsoft Identity o token ID a autorizační kód, který bude zaslán k maskování jiných domén jako legitimní entity Office 365. Ukazuje také, že aplikace, pro kterou je žádost podána, získá povolení k přístupu k účtu oběti, ke čtení a úpravám jejího obsahu (dokumenty, soubory) a použití souvisejících zdrojů, k přístupu a použití kontaktů oběti a tento přístup neomezeně prodlouží.

Jak? Výše uvedený autorizační kód je vyměněn za přístupový token, který je prezentován podvodnou aplikací do Microsoft Graph, která jej autorizuje.

Co s tím?

OAuth2 je důležitým příkladem protikladné adaptace. Není třeba kompromitovat pověření, jsou to sami uživatelé, kteří nevědomky schvalují útočníkovi přístup k jejich účtům. Jakmile útočník dostane přístup k účtu přes danou aplikaci, je nutné tuto aplikaci opět zrušit, změnit heslo. Nikdy však nemáme jistotu, co daný útočník za tu dobu udělal a co jiného modifikoval…

Určitě je potřeba ověřit, že nevypnul MFA či jiná bezpečnostní nastavení.

Co z toho vyplývá? NIKOMU nevěřte, čtěte, přemýšlejte a na nic neklikejte – hlavně tam, kde vám přijde něco, co neočekáváte – třeba prémie!

Další články z blogu

23. 8. 2021
S citlivými daty se obchoduje na „aukru“ pro kriminálníky

Kyberbezpečnostní úřad zkoumá další znepokojující kauzu. Ano, hádáte správně, v hlavní roli jsou opět hackeři. Aktuálně se chlubí ukradenými interními daty společnosti Gordic. Na...

Přečíst
12. 8. 2021
NSA vydává návod, jak lépe zabezpečit bezdrátová zařízení

Přestože rady a osvědčené postupy NSA pro zabezpečení bezdrátových zařízení nejsou zárukou ochrany, budou snižovat rizika, kterým můžete čelit. Nejviditelnější...

Přečíst
19. 7. 2021
TIP měsíce pro SMB

Řešení pro archivaci dat z Vaší Synology NAS! V poslední době si společnosti všech velikostí začínají více a více uvědomovat, že je...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram