Các nhà nghiên cứu của ProofPoint đã phát hiện ra một cuộc tấn công lừa đảo mới nhắm vào người dùng Microsoft 365. Để lừa người dùng, tin tặc sử dụng các ứng dụng OAuth độc hại mạo danh các dịch vụ phổ biến như Adobe Drive, Adobe Drive X, Adobe Acrobat và DocuSign. Xin nhắc lại, Microsoft 365 sử dụng OAuth làm phương thức xác thực cho các dịch vụ trực tuyến. Giao thức ủy quyền này cho phép các ứng dụng truy cập vào các tài nguyên được bảo vệ mà không cần phải yêu cầu mật khẩu của người dùng.
Nếu truy cập vào yêu cầu xác thực OAuth giả mạo từ Adobe hoặc DocuSign, tin tặc sẽ có được một lượng lớn dữ liệu cá nhân. Trong số dữ liệu được phục hồi ở giai đoạn này của cuộc tấn công có tên đầy đủ, ID người dùng, ảnh đại diện, tên người dùng cũng như OpenID, cho phép kẻ tấn công lấy thông tin chi tiết về tài khoản Microsoft. Với thông tin này trong tay, tin tặc có thể biến mất và sau đó quay lại với các cuộc tấn công lừa đảo được cá nhân hóa.
Hãy cảnh giác khi bạn nhận được yêu cầu cấp phép cho các ứng dụng sử dụng OAuth, đặc biệt là nếu không có lý do gì khiến bạn phải nhận yêu cầu đó vào thời điểm đó. Trước khi cấp quyền truy cập và chia sẻ dữ liệu, hãy luôn xác minh nguồn gốc và tính hợp pháp của ứng dụng. Ngoài ra, chúng tôi khuyên bạn nên thường xuyên theo dõi các giấy phép đã được cấp. Bằng cách luôn cảnh giác, bạn có thể ngăn chặn tội phạm truy cập vào tài khoản của mình. Để thực hiện việc này, hãy đăng nhập vào cổng thông tin Ứng dụng của tôi trên trang web của Microsoft. Sau đó, hãy vào Quản lý ứng dụng và thu hồi bất kỳ ứng dụng nào bạn không nhận ra hoặc có vẻ đáng ngờ. Người quản trị cũng được khuyến khích chặn các ứng dụng OAuth của bên thứ ba chưa được xác minh.
Nguồn: Bleeping Computer
Yêu cầu truy cập độc hại
Đầu tiên, mục tiêu của cuộc tấn công mạng sẽ nhận được yêu cầu ủy quyền từ một địa chỉ email hợp pháp, đã nằm trong tầm kiểm soát của tin tặc. Các yêu cầu kết nối này được chuyển tiếp đến các địa chỉ liên kết với tổ chức từ thiện hoặc doanh nghiệp nhỏ. Bằng cách sử dụng những địa chỉ này, tin tặc có thể đánh lạc hướng sự nghi ngờ của nạn nhân.Nếu truy cập vào yêu cầu xác thực OAuth giả mạo từ Adobe hoặc DocuSign, tin tặc sẽ có được một lượng lớn dữ liệu cá nhân. Trong số dữ liệu được phục hồi ở giai đoạn này của cuộc tấn công có tên đầy đủ, ID người dùng, ảnh đại diện, tên người dùng cũng như OpenID, cho phép kẻ tấn công lấy thông tin chi tiết về tài khoản Microsoft. Với thông tin này trong tay, tin tặc có thể biến mất và sau đó quay lại với các cuộc tấn công lừa đảo được cá nhân hóa.
"Ít hơn một phút" đối với một "kết nối đáng ngờ"
Không hẳn vậy. Theo ProofPoint giải thích, yêu cầu OAuth độc hại sẽ chuyển hướng người dùng đến các trang lừa đảo. Các trang web này sao chép giao diện Microsoft 365 và yêu cầu thông tin xác thực của người dùng, cụ thể là tên người dùng và mật khẩu. Với dữ liệu nhạy cảm này, tin tặc có thể đăng nhập vào tài khoản của bạn. Đôi khi, các trang web lợi dụng điều này để cố gắng cài đặt vi-rút vào máy tính của nạn nhân.Một chiến thuật tấn công rất phổ biến
Tội phạm mạng khai thác một chiến lược tấn công nổi tiếng, ClickFix. Chiến thuật này bao gồm việc thao túng người dùng thực hiện các lệnh độc hại, qua đó vượt qua các biện pháp bảo vệ an ninh. Trong trường hợp này, tin tặc sẽ hiển thị một cửa sổ yêu cầu người dùng Internet chứng minh rằng họ là con người. Đây là một thủ thuật đã bị tội phạm mạng khai thác rộng rãi kể từ năm ngoái. Tính năng này đặc biệt được sử dụng trong một cuộc tấn công mạng dựa trên lời mời Google Meet giả mạo.Hãy cảnh giác khi bạn nhận được yêu cầu cấp phép cho các ứng dụng sử dụng OAuth, đặc biệt là nếu không có lý do gì khiến bạn phải nhận yêu cầu đó vào thời điểm đó. Trước khi cấp quyền truy cập và chia sẻ dữ liệu, hãy luôn xác minh nguồn gốc và tính hợp pháp của ứng dụng. Ngoài ra, chúng tôi khuyên bạn nên thường xuyên theo dõi các giấy phép đã được cấp. Bằng cách luôn cảnh giác, bạn có thể ngăn chặn tội phạm truy cập vào tài khoản của mình. Để thực hiện việc này, hãy đăng nhập vào cổng thông tin Ứng dụng của tôi trên trang web của Microsoft. Sau đó, hãy vào Quản lý ứng dụng và thu hồi bất kỳ ứng dụng nào bạn không nhận ra hoặc có vẻ đáng ngờ. Người quản trị cũng được khuyến khích chặn các ứng dụng OAuth của bên thứ ba chưa được xác minh.
Hai cuộc tấn công đang diễn ra
"Hai chiến dịch đang diễn ra, có mục tiêu rõ ràng" hiện đang nhắm vào các công ty trong một số ngành công nghiệp của Hoa Kỳ và Châu Âu, bao gồm cả các tổ chức chính phủ, ProofPoint cho biết. Tin tặc đang sử dụng "lời kêu gọi đấu thầu và mồi nhử hợp đồng" để lừa người đối thoại mở yêu cầu truy cập.Nguồn: Bleeping Computer
