Microsoft 365 OAuth-phishingangreb er stigende, hvor trusselsaktører retter sig mod virksomhedsbrugere gennem legitime autentificeringsflows. I stedet for at stjæle adgangskoder narrer angribere nu brugere til selv at give adgang ved at misbruge OAuth-autentificering med enhedskoder.
Disse kampagner bygger på social engineering frem for tekniske sårbarheder. Ofre bliver ledt til Microsofts officielle login-sider, hvilket reducerer mistanke og øger succesraten. Når adgangen først er givet, kan angribere kontrollere konti uden at have brug for adgangskoder eller MFA-koder.
Sikkerhedsforskere advarer om, at denne metode spreder sig hurtigt i virksomhedsmiljøer.
Hvordan OAuth-phishing med enhedskoder fungerer
OAuth-phishing med enhedskoder misbruger en legitim Microsoft-autentificeringsmetode, der er designet til enheder uden webbrowser. Angribere sender phishing-mails, som instruerer brugere i at besøge en Microsoft-login-side og indtaste en kort autorisationskode.
Når brugere indtaster koden, godkender de ubevidst adgang for en applikation, som angriberen kontrollerer. Microsoft udsteder derefter OAuth-tokens, der gør det muligt for angribere at interagere med offerets konto.
Da processen anvender ægte Microsoft-domæner, opfatter mange brugere anmodningen som sikker. Denne tillid gør teknikken særdeles effektiv.
Hvorfor disse angreb omgår traditionelle beskyttelser
Microsoft 365 OAuth-phishingangreb lykkes, fordi de ikke involverer tyveri af legitimationsoplysninger. Adgangskoder forbliver urørte, og MFA omgås ikke på traditionel vis.
I stedet godkender brugere frivilligt adgang under autentificeringsflowet. Når godkendelsen er gennemført, kan angribere få adgang til e-mail, filer og cloud-tjenester ved hjælp af gyldige tokens.
Mange sikkerhedskontroller fokuserer på usædvanlige login-forsøg frem for misbrug af tokens. Denne blind vinkel gør det muligt for angribere at operere ubemærket efter den første adgang.
Hvem der bliver målrettet
Trusselsaktører fokuserer primært på virksomhedsbrugere, især dem med adgang til følsomme data eller interne samarbejdsværktøjer. Finansafdelinger, ledere og IT-personale er hyppige mål.
Angribere forklæder ofte phishing-beskeder som dokumentdelinger, telefonsvarere eller sikkerhedsnotifikationer. Disse lokkemidler skaber hastværk og presser brugere til hurtigt at gennemføre processen med enhedskoder.
Både økonomisk motiverede grupper og statsforbundne aktører har taget denne teknik i brug.
Risici efter at kontoadgang er opnået
Når angribere får OAuth-adgang, kan de læse e-mails, downloade filer og overvåge kommunikation. I nogle tilfælde opretter de indbakke-regler for at skjule advarsler eller opretholde vedvarende adgang.
Angribere kan også bruge kompromitterede konti til at iværksætte interne phishing-kampagner. Denne laterale bevægelse øger både rækkevidden og troværdigheden af efterfølgende angreb.
OAuth-adgang kan forblive aktiv, indtil den manuelt tilbagekaldes, hvilket muliggør langvarig eksponering.
Hvordan organisationer kan reducere risikoen
Organisationer bør gennemgå OAuth-applikationstilladelser i deres Microsoft 365-miljøer. Unødvendige eller ukendte app-godkendelser bør fjernes straks.
At begrænse brugen af enhedskode-autentificering for højrisikobrugere kan reducere eksponeringen markant. Sikkerhedsteams bør også overvåge udstedelse af tokens og holde øje med usædvanlige autorisationsmønstre.
Brugeruddannelse er fortsat afgørende. Medarbejdere skal forstå, at det er risikabelt at indtaste enhedskoder eller godkende apps via uopfordrede beskeder.
Konklusion
Microsoft 365 OAuth-phishingangreb viser, hvordan angribere tilpasser sig stærkere sikkerhedskontroller ved at udnytte betroede arbejdsflows. Ved at misbruge legitime autentificeringsmetoder får trusselsaktører adgang uden at udløse traditionelle advarsler.
Organisationer, der begrænser OAuth-eksponering, overvåger token-aktivitet og uddanner brugere, kan reducere effektiviteten af disse angreb. At ignorere risikoen giver angribere mulighed for at operere skjult i cloud-miljøer.
0 svar til “Microsoft 365 OAuth-phishingangreb retter sig mod virksomhedskonti”