Microsoft avertit les utilisateurs que le passage au travail à distance pendant la pandémie a exposé les entreprises à des menaces de sécurité supplémentaires, notamment le phishing par consentement.
Contrairement aux attaques de phishing traditionnelles où les cybercriminels tentent de voler les informations d'identification des utilisateurs, le phishing par consentement est une technique où les attaquants incitent les utilisateurs à accorder à une application malveillante l'accès à des données sensibles ou à d'autres ressources.
Une fois qu'un attaquant a compromis le compte Office 365 d'une victime, il peut alors accéder à ses messages, fichiers, contacts, notes, profils et autres informations et ressources sensibles stockées dans les comptes SharePoint ou OneDrive de son organisation.
«Alors que l'utilisation des applications s'est accélérée et a permis aux employés d'être productifs à distance, les attaquants cherchent à tirer parti des attaques basées sur les applications pour obtenir un accès injustifié à des données précieuses dans les services cloud. Bien que vous connaissiez peut-être les attaques ciblant les utilisateurs, telles que le phishing par e-mail ou la compromission des informations d'identification, les attaques basées sur les applications, telles que le phishing par consentement, sont un autre vecteur de menace que vous devez connaître. »
Sommaire
Phishing avec consentement
Dans une attaque de phishing par consentement, les cybercriminels incitent les victimes à fournir aux applications Office 365 OAuth malveillantes un accès à leurs comptes Office 365. Les applications malveillantes d'Office 365 OAuth sont des applications Web que les attaquants ont enregistrées auprès d'un fournisseur OAuth 2.0 tel qu'Azure Active Directory pour apparaître plus légitimes.
Une fois cela fait, un attaquant enverra le lien aux utilisateurs soit par phishing basé sur le courrier électronique, en compromettant un site Web non malveillant ou en utilisant d'autres techniques. Si un utilisateur clique sur le lien, une invite de consentement authentique lui sera demandée pour accorder à l'application malveillante des autorisations sur ses données.
Lorsqu'un utilisateur accepte cette demande, l'application malveillante se voit alors accorder des autorisations pour accéder à ses données sensibles Office 365. L'application malveillante reçoit ensuite un jeton d'autorisation qu'elle échange contre un jeton d'accès qui est ensuite utilisé pour effectuer des appels d'API au nom de l'utilisateur.
Pour se protéger contre le phishing par consentement, Microsoft recommande aux organisations de renseigner leurs employés sur les tactiques utilisées dans ces attaques, notamment l'orthographe et la grammaire médiocres, ainsi que les noms d'applications et les URL de domaine usurpés. La promotion de l'utilisation des applications qui ont été vérifiées par l'éditeur et la configuration des stratégies de consentement des applications peuvent également aider à protéger contre ce type d'attaques.
Via BleepingComputer
