OAuth nätfiske eller om hur ett konto kapas utan att du anger något lösenord
Nätfiske är inget nytt hot och idag är det förhoppningsvis inte lika många som anger sitt användarnamn och lösenord på en webbsida de kom till efter att ha öppnat en länk från ett e-postmeddelande. Iallafall inte utan att kontrollera att webbsidan är den riktiga sidan och ingen nätfiskesida.
Nu är det bara det att att de som nätfiskar också vet detta. Och de har hittat ett sätt att komma åt ditt Microsoft Office 365-konto utan att du anger ditt lösenord eller besöker en konstig webbsida.
Hur går nu detta till?
Jo, du får en länk till ett dokument online på Microsofts officiella webbsida, vilket inger viss trygghet jämfört den vanligaste nätfisketaktiken att länka till en fejkad inloggningssida. Ifall du är inloggad på Office 365 behöver du bara ge några rättigheter till en app på Microsofts sida.
0365 Access låter som en trolig Microsoft-app och med handen på hjärtat, hur många granskar vilka rättigheter man ger ifrån sig när nästan varenda app kräver sådana? Dessutom kan väl inte Microsoft tillåta skumma appar på deras egna sida?
Tyvärr är det i detta fallet inte någon Microsoft-app utan en add-in plugin som bedriver nätfiske så klickar du på ”Tillåt” så ger du bort följande utan att de behöver stjäla ditt lösenord:
- Läsa dina kontakter
- Logga in och läsa din profil
- Läsa din e-post
- Läsa dina OneNote anteckningar
- Ändra dina e-postinställningar
- Full åtkomst till alla dina filer i Microsofts moln
Dessa rättigheter gäller även efter att du loggat ut, då appen har åtkomst genom en egen nyckel du just gav bort.
Hur kan detta vara möjligt?
– Svaret heter OAuth.
OAuth
OAuth är en öppen standard för att låta användare ge andra sidor och appar, genom ett API, ge begränsad åtkomst till information och funktionalitet på andra sidor utan att lämna ut sitt lösenord. Detta används för till exempel appar på Facebook och Twitter som får åtkomst att skriva inlägg eller analysera din vänner-lista utan att du ger apparna ditt lösenord. Apparna får istället en OAuth nyckel som ger apparna tillgång till specifika tjänster som användaren ger sin tillåtelse till och kan återkalla närhelst den så önskar.
OAuth har förbättrat säkerheten i många avseenden för dessa mindre appar där användaren annars hade fått ange sitt lösenord vilket hade gett apparna full åtkomst och skulle kunna möjliggöra kapning. Dessutom hade dessa mindre appar behövt lagra användarlösenord med ökad risk för läckor.
Många sidor har även börjat använda OAuth istället för att tvinga användare att skapa ett konto med lösenord på just deras sida, istället kan användaren logga in med sitt Google/Facebook/Twitter etc. konto. Vilket förhoppningsvis medför att färre återanvänder lösenord på flera tjänster.
Tillbaka till Office 365 add-ins
Microsoft tillåter alltså ett interface för tredjepartsappar som inte behöver gå genom kodgranskning på Office Store att visa API-förfrågningsrutor på Microsoft sida. En av poängen med OAuth är ju att appar omdirigerar webbläsaren till en OAuth värdsida såsom Microsofts vid autentiseringen.
Bonus
Ett videoklipp på ett koncepttest visar hur Office 365 add-ins nätfiske kan få användaren att kryptera sitt och de delar av företagets moln som de har skrivbehörigheter till.
Referenser
- PhishLabs, Phishing Campaign Uses Malicious Office 365 App, https://info.phishlabs.com/blog/office-365-phishing-uses-malicious-app-persist-password-reset, 2020-02-06
- Bleeping Computer, Phishing Attack Hijacks Office 365 Accounts Using OauthApps, https://www.bleepingcomputer.com/news/security/phishing-attack-hijacks-office-365-accounts-using-oauth-apps/, 2020-02-06
- Krebs on Security, Tricky Phish Angles for Persistence, Not Passwords, https://krebsonsecurity.com/2020/01/tricky-phish-angles-for-persistence-not-passwords/, 2020-02-06
- OAuth 2.0, OAuth, https://oauth.net/2/, 2020-02-06