Geplaatst op 20 november 2020 door Danielle Bakker in:
Algemeen, Cloud Computing, ICT Infrastructuur
Het is alom bekend dat alleen een wachtwoord niet meer afdoende is om je omgevingen te beschermen, dankzij multifactor authenticatie (code via mail, sms, App) is er een extra drempel opgeworpen om ongewenst toegang tegen te gaan. Echter is de gebruiker nog steeds te beïnvloeden om deze code te delen met derden als men niet scherp is op de momenten dat er om een code wordt gevraagd.
Het Phishing Defense Center (PDC) van Cofense ontdekte recent een tactische phishing techniek die gebruik maakt van de WebApp protocollen voor derden in een Microsoft 365 omgeving.
Het gaat in deze aanvalsmethode niet om het verzamelen van inloggegevens zoals veelal de toepassing is. Mede omdat dit niet zinvol is als er een MFA toegepast wordt.
Echter wordt er een autorisatie gevraagd om een malafide app te koppelen aan de Office 365 omgeving. Hierdoor kan men alle informatie uitlezen van de gebruiker zijn gegevens zoals e-mail, OneNote, etc.
Door eerder gelekte/verkregen inloggegevens die men ook gebruikt bij bijvoorbeeld Facebook, LinkedIn etc. kunnen er berichten gestuurd worden aan mensen in de contactlijsten. Hierdoor kan het voorkomen dat de malafide link via een bekende wordt gestuurd. En lijkt het allemaal legitiem. De link kan rechtstreeks verwijzen naar de autorisatie aanvraag maar is vermomd als SharePoint link. Een tweede variant is een legitieme Onedrive link waarbij er automatisch een document in Word Online wordt geopend met de malafide link erin vermeld.
De Phishing links zijn meestal gerelateerd aan salarissen, facturen of berichten met encryptie.
Wanneer men de geopende link naar de officiële Microsoft 365 omgeving in de adresbalk goed bestudeerd ziet men onder andere het woord ‘authorize’ staan. Dit maakt al duidelijk dat het niet om een gewone login op de 365 omgeving gaat. Tevens staat er ongeveer halverwege in de link ‘redirect_uri’ Dit is de verwijzing naar de malafide domeinnaam die de autorisatie aanvraagt.
Zodra de autorisatie door de gebruiker is goed gekeurd kan de aanvaller toegang krijgen tot de omgeving. Hier heeft hij geen gebruikersnaam of wachtwoord meer voor nodig. Het wijzigen van het wachtwoord op de omgeving heeft dan ook geen enkel effect om de toegang te blokkeren.
Om de toegang te blokkeren dienen de rechten van de malafide app ingetrokken te worden in de online omgeving. Indien je denkt dat je mogelijk slachtoffer bent geworden van bovenstaande aanval, neem dan contact op met IP linq om je online omgeving te laten controleren.
Tevens is er de mogelijkheid om bovenstaande aanvalstechniek te blokkeren door geheel de toegang voor alle apps van derden te blokkeren. Omdat dit mogelijk invloed op de omgeving kan hebben zal dit alleen op initiatief van de klant worden uitgevoerd.
Scan de QR code en leg contact met ons.
Open WhatsApp Web