Microsoft предупредила о росте числа фишинговых атак OAuth
Фишинг снова активировался, говорят в Microsoft. Фото: Pixabay
Одна из двух атак была специально нацелена на испаноязычных жертв с помощью ссылок OAuth и приманок, выдававших себя за службу налоговой администрации Мексики — Servicio de Administración Tributaria (SAT) - дважды, в сентябре и октябре, пишет BleepingComputer.
В период с октября по декабрь фишинговая активность многократно увеличивалась, предлагая, якобы, финансовые услуги для «инвестиционных команд» организаций.
Читайте в тему:
- Функцию синхронизации Google Chrome можно использовать для кражи данных.
- Chrome блокирует популярное расширение The Great Suspender.
- Android-устройства попали в ловушку DDoS-ботнета.
Злоумышленники, стоящие за этими атаками, злоупотребляли облачными услугами или использовали ранее взломанные домены для отправки фишинговых писем. URL-адреса OAuth перенаправляли потенциальных жертв в домены, принадлежащие злоумышленнику, для отображения запроса аутентификации.
Фишинг OAuth — это вариант атаки на основе приложений, при котором злоумышленники пытаются обманом заставить жертву предоставить вредоносным приложениям Office 365 OAuth (веб-приложениям, зарегистрированным злоумышленниками у поставщика OAuth 2.0) доступ к их учётным записям Office 365.
Как только жертвы предоставляют вредоносным приложениям разрешения на доступ к данным своей учётной записи, злоумышленники обновляют токены. Это позволяет захватывать учётные записи Майкрософт целей и выполнять вызовы API.
Офтоп: Как взять клинику под контроль и увеличить продажи.
Скомпрометированные учётные записи Office 365 предоставляют злоумышленникам доступ к электронной почте, файлам, контактам жертв, а также к конфиденциальной информации и ресурсам, хранящимся в корпоративных системах управления / хранения документов SharePoint и / или облачных хранилищах OneDrive для бизнеса.
«После того, как жертвы нажимали на вводящие в заблуждение ссылки, им в конечном итоге предлагалось предоставить права доступа вредоносному веб-приложению», — пояснил корпоративный вице-президент Microsoft по безопасности и доверию Том Берт. — «Жертва не знала, что они контролировались преступниками, которые, получив разрешение обманным путём, могли получить доступ к учётной записи Microsoft Office 365 жертвы».
Microsoft предупредила о переходе фишеров на новую тактику. Злоумышленники атаковали клиентов Microsoft, пытаясь взять под контроль их учётные записи, украсть конфиденциальные данные, а затем использовать их для обмана организаций в схемах мошенничества с компрометацией деловой электронной почты (BEC).
Microsoft подала в суд и демонтировала часть инфраструктуры атаки, отключив шесть доменов, которые использовались для размещения вредоносных приложений 365 OAuth, которые использовались для взлома клиентов Office 365.
Кроме того, компания выявила и отключила вредоносные приложения Office 365 OAuth, чтобы заблокировать доступ пользователей к ним и захват их учётных записей.
Microsoft объявила, что средства защиты от фишинга OAuth Office 365 общедоступны, включая политики согласия приложений и проверку издателя приложения OAuth.
Как ранее сообщал Startpack, девять из десяти организаций в прошлом году пострадали от нарушения безопасности своих API.
Startpack также подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков.
Особая рекомендация: Антивирус Касперского — антивирусная программа, целью которой является предотвращение заражения системы пользователя, а не поиск уже обнаруженного вредоносного программного обеспечения в системе.
Комментариев пока не было