Microsoft: Warnung vor Consent Phishing

Microsoft warnt derzeit vor „Consent Phishing“- oder auch „OAuth-Phishing“-Kampagnen, die in erster Linie auf Unternehmen beziehungsweise auf deren Mitarbeiter abzielen. Unter falschem Vorwand würden Nutzer – oft via E-Mail – dazu gebracht, Angreifern per OAuth-Authentifizierung (Open Authorization) Zugriff auf (Unternehmens-)Daten in der Cloud zu gewähren.

Dabei verfahren die Täter nach einem sich wiederholenden Prinzip:

1. Ein Angreifer registriert eine Anwendung bei einem OAuth 2.0-Provider, wie z.B. Azure Active Directory.
2. Die App ist so konfiguriert, dass sie vertrauenswürdig erscheint, wie die Verwendung des Namens eines beliebten Produkts, das im gleichen Ökosystem verwendet wird.
3. Der Angreifer erhält vor den Augen der Benutzer einen Link, was durch konventionelles E-Mail-basiertes Phishing, durch die Kompromittierung einer nicht bösartigen Website oder durch andere Techniken geschehen kann.
4. Der Benutzer klickt auf den Link und erhält eine authentische Eingabeaufforderung, in der er aufgefordert wird, der bösartigen Anwendung die Erlaubnis für Daten zu erteilen.
5. Wenn ein Benutzer auf „Einverstanden“ klickt, erteilt er der Anwendung die Erlaubnis, auf sensible Daten zuzugreifen.
6. Die Anwendung erhält einen Autorisierungscode, den sie gegen ein Zugriffstoken und möglicherweise ein Refresh-Token einlöst.
7. Das Zugriffstoken wird verwendet, um API-Aufrufe im Namen des Benutzers durchzuführen.

Sollte der Benutzer zustimmen, kann der Angreifer Zugang zu seinen E-Mails, Weiterleitungsregeln, Dateien, Kontakten, Notizen, Profilen und anderen sensiblen Daten und Ressourcen erhalten. Doch wie kann man sich davor schützen? Microsoft gibt folgende Hinweise:

• Prüfen Sie auf schlechte Rechtschreibung und Grammatik. Wenn eine E-Mail-Nachricht oder der Einwilligungsbildschirm der Anwendung Rechtschreib- und Grammatikfehler aufweist, handelt es sich wahrscheinlich um eine verdächtige Anwendung.
• Achten Sie auf App-Namen und Domain-URLs. Angreifer fälschen gerne App-Namen, die den Anschein erwecken, sie stammten von legitimen Anwendungen oder Unternehmen, Sie aber dazu bringen, einer bösartigen Anwendung zuzustimmen. Stellen Sie sicher, dass Sie den Namen der Anwendung und die Domänen-URL erkennen, bevor Sie einer Anwendung zustimmen.
• Werben Sie für die Verwendung von Anwendungen, die vom Herausgeber überprüft wurden. Die Verifizierung durch den Herausgeber hilft Administratoren und Endbenutzern, die Authentizität von Anwendungsentwicklern zu erkennen. Bislang wurden über 660 Anwendungen von 390 Publishern verifiziert.
• Konfigurieren Sie Richtlinien für die Anwendungszustimmung, indem Sie Benutzern die Möglichkeit geben, nur bestimmten Anwendungen zuzustimmen, denen Sie vertrauen, z. B. Anwendungen, die von Ihrer Organisation oder von verifizierten Verlagen entwickelt wurden.
• Verstehen Sie die Daten und Berechtigungen, um die eine Anwendung bittet, und verstehen Sie, wie Berechtigungen und Einwilligungen innerhalb unserer Plattform funktionieren.
• Stellen Sie sicher, dass die Administratoren wissen, wie sie Einverständniserklärungen verwalten und auswerten können.
• Prüfen Sie Anwendungen und Zustimmungen in Ihrer Organisation, um sicherzustellen, dass die verwendeten Anwendungen nur auf die Daten zugreifen, die sie benötigen, und die Prinzipien der geringsten Privilegien einhalten.