Spis treści
Od kilku miesięcy groźna metoda hakowania atakuje konta Microsoft 365, sprytnie wykorzystując przepływ OAuth do obejścia haseł i uwierzytelniania wieloskładnikowego. Kampanie phishingowe na dużą skalę wykorzystują tę technikę, aby bezpośrednio uzyskać dostęp do kont użytkowników, podważając bezpieczeństwo najbardziej chronionych systemów.
3 informacje, których nie można przegapić
Przepływ OAuth to mechanizm uwierzytelniania powszechnie używany do autoryzacji aplikacji do uzyskiwania dostępu do kont Microsoft, bez potrzeby haseł. Generowany jest tymczasowy kod, który użytkownik musi wprowadzić, aby zatwierdzić tę autoryzację. Cyberprzestępcy wykorzystują tę funkcję, wysyłając e-maile phishingowe, które wydają się autentyczne.
Te e-maile zawierają linki prowadzące do stron kontrolowanych przez atakujących, naśladujących wygląd docelowej organizacji. Użytkownicy są wówczas oszukiwani, wierząc, że zatwierdzają legalną autoryzację, podczas gdy w rzeczywistości przyznają dostęp do swojego konta złośliwej aplikacji.
Kampanie phishingowe wykorzystujące przepływ OAuth używają wiadomości dotyczących powszechnych i atrakcyjnych tematów, takich jak udostępnione dokumenty czy premie płacowe. Te wiadomości mogą być częścią rzeczywistych wymian, zwiększając tym samym ich wiarygodność. Ofiary, wprowadzając podany kod, nieświadomie przyznają pełny dostęp do swojego konta cyberprzestępcom.
Proofpoint, firma specjalizująca się w cyberbezpieczeństwie, zaobserwowała znaczny wzrost tych ataków, prowadzonych przez grupy znane z ich doświadczenia w phishingu. Grupa TA2723, na przykład, jest zaangażowana w te działania od zeszłej jesieni, celując w wrażliwe sektory w Europie i Stanach Zjednoczonych.
Aby chronić się przed tymi atakami, organizacje muszą dokładnie sprawdzać dostęp OAuth. Zaleca się ścisłe ograniczenie aplikacji mających dostęp do kont, kontrolowanie już udzielonych zgód i ograniczenie użycia przepływów autoryzacyjnych przez kod do niezbędnych kontekstów. Zalecane są również regularne audyty autoryzowanych aplikacji.
Użytkownicy natomiast muszą być czujni i nigdy nie wprowadzać kodu w interfejsie Microsoft, jeśli nie zainicjowali procesu autoryzacji. Każda prośba związana z dokumentem, premią lub weryfikacją konta powinna być traktowana z podejrzliwością, nawet jeśli wydaje się pochodzić z legalnego źródła.
Microsoft 365, wcześniej znany jako Office 365, to zestaw usług w chmurze integrujący narzędzia produktywności, takie jak Word, Excel i Teams. Od momentu uruchomienia platforma stała się filarem dla firm i instytucji na całym świecie, czyniąc jej konta bardzo pożądanymi przez cyberprzestępców. Ataki na te konta ewoluowały na przestrzeni lat, od prostych kradzieży haseł po zaawansowane techniki phishingowe, takie jak te wykorzystujące przepływ OAuth.
Wysiłki na rzecz zabezpieczenia Microsoft 365 zostały zintensyfikowane, zwłaszcza poprzez integrację uwierzytelniania wieloskładnikowego i polityk dostępu warunkowego. Jednak rosnąca złożoność cyberataków podkreśla potrzebę zwiększonej czujności i ciągłego edukowania użytkowników w celu zapobiegania naruszeniom danych.