Microsoft warnt von Consent Phishing

Moderne Anwendungen integrieren Benutzer- und Unternehmensdaten aus Cloud-Plattformen, um ihre Erfahrungen zu verbessern und zu personalisieren. Diese Cloud-Plattformen sind reich an Daten, haben aber wiederum böswillige Akteure angezogen, die sich ungerechtfertigten Zugang zu diesen Daten verschaffen wollen.

Einer dieser von Microsoft beobachteten Angriffe ist das so genannte „Consent Phishing„, bei dem Angreifer die Benutzer dazu verleiten, einer böswilligen Anwendung Zugang zu sensiblen Daten oder anderen Ressourcen zu gewähren. Anstatt zu versuchen, das Passwort des Benutzers zu stehlen, sucht ein Angreifer die Erlaubnis für eine vom Angreifer kontrollierte Anwendung, auf wertvolle Daten zuzugreifen.

Obwohl jeder Angriff unterschiedlich verläuft, sehen die Kernschritte in der Regel in etwa so aus:

1. Ein Angreifer registriert eine Anwendung bei einem OAuth 2.0-Provider, wie z.B. Azure Active Directory.
2. Die Anwendung wird so konfiguriert, dass sie vertrauenswürdig erscheint, wie die Verwendung des Namens eines beliebten Produkts, das im gleichen Ökosystem verwendet wird.
3. Der Angreifer erhält vor den Augen der Benutzer einen Link, was durch konventionelles E-Mail-basiertes Phishing, durch die Kompromittierung einer nicht bösartigen Website oder durch andere Techniken geschehen kann.
4. Der Benutzer klickt auf den Link und erhält eine authentische Zustimmungsaufforderung, in der er aufgefordert wird, der bösartigen Anwendung die Erlaubnis für Daten zu erteilen.
5. Wenn ein Benutzer auf „Einverstanden“ klickt, erteilt er der Anwendung die Erlaubnis, auf sensible Daten zuzugreifen.
6. Die Anwendung erhält einen Autorisierungscode, den sie gegen ein Zugriffstoken und möglicherweise ein Refresh-Token einlöst.
7. Das Zugriffstoken wird verwendet, um API-Aufrufe im Namen des Benutzers durchzuführen.
8. Wenn der Benutzer zustimmt, kann der Angreifer Zugriff auf seine E-Mails, Weiterleitungsregeln, Dateien, Kontakte, Notizen, Profile und andere sensible Daten und Ressourcen erhalten.

Microsoft kann mit integrierten Sicherheitslösungen aus Identitäts- und Zugriffsmanagement, Geräteverwaltung, Bedrohungsschutz und Cloud-Sicherheit Billionen von Signalen auswerten und überwachen, um bösartige Anwendungen zu identifizieren. „Anhand unserer Signale konnten wir bösartige Anwendungen identifizieren und Maßnahmen ergreifen, um sie zu beheben, indem wir sie deaktiviert und den Benutzern den Zugriff auf sie verwehrt haben. In einigen Fällen haben wir auch rechtliche Schritte eingeleitet, um unsere Kunden noch besser zu schützen,“ erklärt Agnieszka Girling, Partner Group PM Manager bei Microsoft.

Es gibt einige Schritte, um Ihr Unternehmen zu schützen. Dazu gehören einige bewährte Verfahren:

1. Klären Sie Ihre Organisation über Consent Phishing-Taktiken auf: Achten Sie auf schlechte Rechtschreibung und Grammatik. Wenn eine E-Mail-Nachricht oder der Einwilligungsbildschirm der Anwendung Rechtschreib- und Grammatikfehler aufweist, handelt es sich wahrscheinlich um eine verdächtige Anwendung. Achten Sie auf App-Namen und Domain-URLs. Angreifer fälschen gerne App-Namen, die den Anschein erwecken, sie stammten von legitimen Anwendungen oder Unternehmen, Sie aber dazu bringen, einer bösartigen Anwendung zuzustimmen. Stellen Sie sicher, dass Sie den Namen der Anwendung und die Domänen-URL erkennen, bevor Sie einer Anwendung zustimmen.
2. Identifizieren Sie Anwendungen, denen Sie vertrauen, und erlauben Sie den Zugriff auf diese Anwendungen. Das gleiche gilt für Anwendungen, die „Publisher verified“ sind. Die Verifizierung durch den Publisher hilft Administratoren und Endbenutzern, die Authentizität von Anwendungsentwicklern zu erkennen. Bislang wurden über 660 Anwendungen von 390 Publishern von Microsoft verifiziert. Konfigurieren Sie Richtlinien für die Anwendungszustimmung, indem Sie Benutzern die Möglichkeit geben, nur bestimmten Anwendungen zuzustimmen, denen Sie vertrauen, z. B. Anwendungen, die von Ihrer Organisation oder von verifizierten Verlagen entwickelt wurden.
3. Informieren Sie darüber, wie das Genehmigungs- und Zustimmungs-Framework von Microsoft funktioniert. Prüfen Sie die Daten und Berechtigungen, um die eine Anwendung bittet, und lernen Sie, wie Berechtigungen und Einwilligungen innerhalb der Microsoft Plattform funktionieren. Stellen Sie sicher, dass die Administratoren wissen, wie sie Einverständniserklärungen verwalten und auswerten können. Prüfen Sie Anwendungen und Zustimmungen, um sicherzustellen, dass die verwendeten Anwendungen nur auf die Daten zugreifen, die sie benötigen, und die Prinzipien der geringsten Privilegien einhalten.