目前,有两个网络攻击针对Microsoft 365帐户的持有人,以窃取受害者的身份,黑客使用恶意的OAUTH应用程序,以篡夺流行在线服务的身份,例如Adobe。一旦密码被盗,黑客将不到一分钟的时间连接到帐户...
证明点研究人员发现了新的网络钓鱼攻击使用Microsoft 365用户来捕获用户,海盗使用恶意的Oautial应用程序,可篡夺已知服务的身份,例如Adobe Drive,Adobe Drive X,Adobe Acrobat和DocuSign。提醒您,微软365利用OAuth作为身份验证方法进入在线服务。该授权协议允许应用程序访问受保护的资源,而无需请求用户密码。
“证明Point研究人员最近发现了三个恶意应用程序,这些应用程序直到那时还没有整洁,被伪装成“ Adobe Drive”,“ Adobe Acrobat”和“ DocuSign”,这些应用程序用于重定向用户”,关联验证点x。
恶意访问请求
首先,网络攻击的目标将接收合法电子邮件地址的授权请求,落在海盗的控制之下。这些连接请求是由链接到慈善组织或小型企业的地址传输的。使用这些地址,黑客设法使受害者的不信任入睡。
如果这些访问授权OAuth的请求(假装是Adobe或Docusign),海盗将动手众多个人数据。在进攻阶段恢复的数据中,我们找到了全名,用户ID,配置文件照片,用户名以及OpenID,这使攻击者可以恢复Microsoft帐户的详细信息。借助此信息,海盗可能已经消失,并以个性化的网络钓鱼攻击后稍后再回到负载。
“可疑连接”的“不到一分钟”
它不是。正如ProofPoint所解释的那样,恶意的OAuth需求将将用户重定向到网络钓鱼页面。这些网页占据了Microsoft 365接口并要求标识符用户,即用户名和密码。有了这些敏感数据,黑客可以连接到您的帐户。有时,网页会借此机会尝试在受害者的计算机上安装病毒。
“在授权O365 OAUTH应用程序后,受害者被重定向多次,并越过了多个步骤,然后才被暴露于恶意软件,或在隐藏在背景中的网络钓鱼页面上。在某些情况下,它们被定向到Microsoft 365连接页面,该页面托管在恶意领域。授权后不到一分钟后,证明点检测到帐户上的可疑连接活动»,向我们的同事解释易怒的计算机。
非常广泛的海盗策略
网络犯罪分子利用了一个众所周知的海盗策略,点击fix。这种策略包括操纵用户,以便他们自己执行恶意命令,从而绕过安全保护。在这种情况下,海盗会显示一个窗口,要求互联网用户证明他是人类的。自去年以来,它是网络犯罪分子大量利用的尖端。它被特别用作基于网络攻击的一部分错误的Google满足邀请。
在收到使用OAuth的申请授权请求时要小心,尤其是在当时没有理由收到的申请请求时。在授予访问和通信数据之前,请务必检查应用程序的源和合法性。此外,我们建议您定期关注已经授予的授权。通过保持警惕,您可以防止犯罪分子继续访问您的帐户。为此,在Microsoft网站上连接到My Apps门户网站。然后去管理您的应用程序,然后撤销所有您不认识或看起来有些可疑的应用程序。还邀请管理员阻止OoAuth Tiens未关注的应用程序。
两次正在进行的攻击
“两个目前的非常有针对性的运动”Proocpoint说,目前针对包括政府实体在内的几个美国和欧洲行业的公司。海盗使用“呼吁招标和合同诱饵”鼓励对话者打开访问请求。
来源 : 易怒的计算机
