当前位置:首页 > 新闻公告 > 微软警告企业注意防范利用OAuth的“同意钓鱼”攻击

微软警告企业注意防范利用OAuth的“同意钓鱼”攻击

发布时间:2020/7/10 8:53:18    来源: A5数据

网络钓鱼攻击是一种冒充知名公司、产品或品牌常见的策略,从毫无戒备的受害者那里窃取账户凭证、财务信息或其他数据。典型的网络钓鱼攻击会说服用户直接输入密码和登录凭证,然后被攻击者捕获。

不过,还有一种更特殊的行为,即“同意钓鱼”,其目的不是通过窃取你的密码,而是通过欺骗你,让你给予一个恶意应用程序必要的许可,从而获取敏感数据。微软周三发布的一篇博文解释了这种做法的工作原理。

这种类型的“同意钓鱼”依赖于OAuth 2.0授权技术。通过在应用程序或网站中实现OAuth协议,开发者可以让用户无需输入密码或其他凭证就可以对某些数据进行授权。

包括微软、谷歌在内的许多在线公司都在使用OAuth, OAuth是一种通过单点登录机制简化应用程序和网站的登录和授权过程的方法。然而,与许多技术一样,OAuth可以用于有益和恶意的目的。

微软在其博客文章中详细说明了这个问题:

1、攻击者向OAuth 2.0提供程序(例如Azure Active Directory)注册了一个应用程序。

2、该应用程序的配置方式使其看起来值得信赖,例如使用在同一生态系统中使用的流行产品的名称。

3、攻击者可以在用户面前获得一个链接,这可以通过基于电子邮件的常规网络钓鱼,破坏非恶意网站或其他技术来实现。

4、用户单击链接,并显示一个真实的同意提示,要求他们授予恶意应用程序对数据的权限。

5、如果用户单击“接受”,则他们将授予应用程序访问敏感数据的权限。

6、该应用程序将获得授权码,该授权码将用于兑换访问令牌和可能的刷新令牌。

7、访问令牌用于代表用户进行API调用。

8、然后,攻击者可以访问用户的邮件,转发规则,文件,联系人,便笺,配置文件和其他敏感数据。

自从首次部署OAuth以来,它一直受到滥用,而现在,它被广泛部署,这种滥用只会加速。总的来说,这只是黑客滥用单点故障。每当用户使用单点登录技术时,攻击者就会滥用它。现在,成千上万的用户在不真正了解它的情况下使用了它,更容易被滥用。

诸如OAuth之类的技术之所以获得成功,很大程度上是因为缺乏用户的知识和意识。

部分问题是大多数用户不了解正在发生的事情。他们不知道与Gmail或其他OAuth提供商一起使用的登录现在会自动被另一个人调用,使用或滥用。他们也不理解权限提示。他们所知道的只是他们单击了电子邮件链接或附件,现在他们的计算机系统要求他们确认一些他们确实不理解的操作。

微软宣传了它采取的一些措施,试图防止这种类型的恶意行为。该公司表示,它使用身份和访问管理,设备管理,威胁防护和云安全性等安全工具来分析数百万个数据点,以帮助检测恶意应用程序。此外,微软还试图通过允许客户对用户可以给予某些同意的应用类型设置政策,以更好地保护其应用生态系统的安全。

尽管微软和其他公司做出了努力,但由于网络犯罪分子一直领先一步,这些攻击仍然存在。为了帮助防范同意钓鱼活动,微软为个人和组织提供建议。

对于个人:

检查拼写和语法是否不正确。如果电子邮件或应用程序的同意屏幕出现拼写和语法错误,则可能是可疑的应用程序。

密切注意应用名称和域URL。攻击者喜欢欺骗应用程序名称,使其看起来似乎来自合法应用程序或公司,但会诱使您同意恶意应用程序。在同意申请之前,请确保您识别出应用名称和域名URL。

对于企业:

了解应用程序要求的数据和权限,并了解权限和同意在微软平台内如何工作。

确保管理员知道如何来管理和评估的同意请求。

审核企业中的应用程序和同意的权限,以确保正在使用的应用程序仅访问所需的数据并遵循最小特权原则。

促进使用经过发布者验证的应用程序。发布者验证可帮助管理员和最终用户了解应用程序开发人员的真实性。到目前为止,已经验证了390个发布者的660多个申请。

通过允许用户仅同意您信任的应用程序(例如由您的企业或经验证的发布者开发的应用程序)来配置应用程序同意策略。

Microsoft还建议有关企业检查其有关“ 检测和补救非法同意书 ”和“ 保护身份基础结构的五个步骤 ”的文档。

同时还为使用OAuth的应用和网站开发人员提供了三点建议:

使许可提示对于临时最终用户而言更加容易理解的提示信息。例如,添加一条消息,说:“如果您选择OK,您将同意第三方完全控制您可以看到的所有文档,因此请确保您信任询问的人,否则该请求可能是恶意的。”

以某种方式使系统足够智能,可以代表用户做出风险决策,因此未经计算机安全培训的用户不必做出计算机安全决策。

不允许做出高风险的决策,尤其是默认情况下如此轻易地做出,系统应默认为最小允许的权限。