Microsoft 365 OAuth-phishingangrep øker, der trusselaktører retter seg mot bedriftsbrukere gjennom legitime autentiseringsflyter. I stedet for å stjele passord lurer angripere nå brukere til selv å gi tilgang ved å misbruke OAuth-autentisering med enhetskoder.
Disse kampanjene bygger på sosial manipulering fremfor tekniske sårbarheter. Ofre blir ledet til Microsofts offisielle påloggingssider, noe som reduserer mistanke og øker treffsikkerheten. Når tilgangen først er gitt, kan angripere kontrollere kontoer uten å trenge passord eller MFA-koder.
Sikkerhetsforskere advarer om at denne metoden sprer seg raskt i bedriftsmiljøer.
Hvordan OAuth-phishing med enhetskoder fungerer
OAuth-phishing med enhetskoder misbruker en legitim Microsoft-autentiseringsmetode som er utviklet for enheter uten nettleser. Angripere sender phishing-e-poster som instruerer brukere til å besøke en Microsoft-påloggingsside og angi en kort autorisasjonskode.
Når brukere taster inn koden, godkjenner de uvitende tilgang for en applikasjon som kontrolleres av angriperen. Microsoft utsteder deretter OAuth-token som gjør det mulig for angripere å samhandle med offerets konto.
Fordi prosessen bruker ekte Microsoft-domener, oppfatter mange brukere forespørselen som trygg. Denne tilliten gjør teknikken svært effektiv.
Hvorfor disse angrepene omgår tradisjonelle beskyttelser
Microsoft 365 OAuth-phishingangrep lykkes fordi de ikke innebærer tyveri av legitimasjon. Passord forblir urørt, og MFA omgås ikke på tradisjonelt vis.
I stedet godkjenner brukere frivillig tilgang under autentiseringsflyten. Når godkjenningen er på plass, kan angripere få tilgang til e-post, filer og skytjenester ved hjelp av gyldige token.
Mange sikkerhetskontroller fokuserer på avvikende pålogginger fremfor misbruk av token. Dette gapet gjør det mulig for angripere å operere stille etter den første tilgangen.
Hvem som blir målrettet
Trusselaktører fokuserer hovedsakelig på bedriftsbrukere, spesielt de med tilgang til sensitiv informasjon eller interne samarbeidsverktøy. Økonomiavdelinger, ledere og IT-personell er hyppige mål.
Angripere kamuflerer ofte phishing-meldinger som dokumentdelinger, talemeldinger eller sikkerhetsvarsler. Disse lokkemidlene skaper hastverk og presser brukere til raskt å fullføre prosessen med enhetskoder.
Både økonomisk motiverte grupper og statstilknyttede aktører har tatt i bruk denne teknikken.
Risikoer etter at kontotilgang er oppnådd
Når angripere får OAuth-tilgang, kan de lese e-post, laste ned filer og overvåke kommunikasjon. I noen tilfeller oppretter de innboksregler for å skjule varsler eller opprettholde vedvarende tilgang.
Angripere kan også bruke kompromitterte kontoer til å gjennomføre interne phishing-kampanjer. Denne laterale bevegelsen øker både rekkevidden og troverdigheten til påfølgende angrep.
OAuth-tilgang kan forbli aktiv helt til den manuelt trekkes tilbake, noe som muliggjør langvarig eksponering.
Hvordan organisasjoner kan redusere risikoen
Organisasjoner bør gjennomgå OAuth-applikasjonstillatelser i sine Microsoft 365-miljøer. Unødvendige eller ukjente appgodkjenninger bør fjernes umiddelbart.
Å begrense autentisering med enhetskoder for høyrisikobrukere kan redusere eksponeringen betydelig. Sikkerhetsteam bør også overvåke utstedelse av token og se etter uvanlige autorisasjonsmønstre.
Brukeropplæring er fortsatt avgjørende. Ansatte må forstå at det er risikabelt å angi enhetskoder eller godkjenne apper via uoppfordrede meldinger.
Konklusjon
Microsoft 365 OAuth-phishingangrep viser hvordan angripere tilpasser seg sterkere sikkerhetskontroller ved å utnytte betrodde arbeidsflyter. Ved å misbruke legitime autentiseringsmetoder får trusselaktører tilgang uten å utløse tradisjonelle varsler.
Organisasjoner som begrenser OAuth-eksponering, overvåker tokenaktivitet og utdanner brukere, kan redusere effektiviteten av disse angrepene. Å ignorere risikoen gir angripere mulighet til å operere i det stille inne i skybaserte miljøer.
0 svar til “Microsoft 365 OAuth-phishingangrep retter seg mot bedriftskontoer”