Microsoft предупредила о росте числа фишинговых атак OAuth

Фишинг снова активировался, говорят в Microsoft. Фото: Pixabay

Одна из двух атак была специально нацелена на испаноязычных жертв с помощью ссылок OAuth и приманок, выдававших себя за службу налоговой администрации Мексики — Servicio de Administración Tributaria (SAT) - дважды, в сентябре и октябре, пишет BleepingComputer.

В период с октября по декабрь фишинговая активность многократно увеличивалась, предлагая, якобы, финансовые услуги  для «инвестиционных команд» организаций.

Читайте в тему:

• Функцию синхронизации Google Chrome можно использовать для кражи данных.
• Chrome блокирует популярное расширение The Great Suspender.
• Android-устройства попали в ловушку DDoS-ботнета.

Злоумышленники, стоящие за этими атаками, злоупотребляли облачными услугами или использовали ранее взломанные домены для отправки фишинговых писем. URL-адреса OAuth перенаправляли потенциальных жертв в домены, принадлежащие злоумышленнику, для отображения запроса аутентификации.

Фишинг OAuth — это вариант атаки на основе приложений, при котором злоумышленники пытаются обманом заставить жертву предоставить вредоносным приложениям Office 365 OAuth (веб-приложениям, зарегистрированным злоумышленниками у поставщика OAuth 2.0) доступ к их учётным записям Office 365.

Как только жертвы предоставляют вредоносным приложениям разрешения на доступ к данным своей учётной записи, злоумышленники обновляют токены. Это позволяет захватывать учётные записи Майкрософт целей и выполнять вызовы API.

Офтоп: Как взять клинику под контроль и увеличить продажи.

Скомпрометированные учётные записи Office 365 предоставляют злоумышленникам доступ к электронной почте, файлам, контактам жертв, а также к конфиденциальной информации и ресурсам, хранящимся в корпоративных системах управления / хранения документов SharePoint и / или облачных хранилищах OneDrive для бизнеса.

«После того, как жертвы нажимали на вводящие в заблуждение ссылки, им в конечном итоге предлагалось предоставить права доступа вредоносному веб-приложению», — пояснил корпоративный вице-президент Microsoft по безопасности и доверию Том Берт. — «Жертва не знала, что они контролировались преступниками, которые, получив разрешение обманным путём, могли получить доступ к учётной записи Microsoft Office 365 жертвы».

Microsoft предупредила о переходе фишеров на новую тактику. Злоумышленники атаковали клиентов Microsoft, пытаясь взять под контроль их учётные записи, украсть конфиденциальные данные, а затем использовать их для обмана организаций в схемах мошенничества с компрометацией деловой электронной почты (BEC).

Microsoft подала в суд и демонтировала часть инфраструктуры атаки, отключив шесть доменов, которые  использовались для размещения вредоносных приложений 365 OAuth, которые использовались для  взлома клиентов Office 365.

Кроме того, компания выявила и отключила вредоносные приложения Office 365 OAuth, чтобы заблокировать доступ пользователей к ним и захват их учётных записей.

Microsoft объявила, что средства защиты от фишинга OAuth Office 365 общедоступны, включая политики согласия приложений и проверку издателя приложения OAuth.

Как ранее сообщал Startpack, девять из десяти организаций в прошлом году пострадали от нарушения безопасности своих API.

Startpack также подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. 

Особая рекомендация: Антивирус Касперского — антивирусная программа, целью которой является предотвращение заражения системы пользователя, а не поиск уже обнаруженного вредоносного программного обеспечения в системе.