האקרים מנצלים הרשאות OAuth כדי לחדור לחשבונות Microsoft
חוקרי אבטחה גילו כי פושעי סייבר הצליחו לגנוב מידע רגיש ולקבל גישה לחשבונות מיקרוסופט באמצעות התחזות לאפליקציות מוכרות כמו Adobe ו-DocuSign
תמונה: dreamstime
חוקרי אבטחה גילו לאחרונה כי קמפיינים מתוחכמים הצליחו לגנוב אישורי גישה לחשבונות Microsoft 365. החוקרים שפענחו את המקרים, חוקרי אבטחה מחברת Proofpint, הסבירו לאתר bleepingcomputer כי פושעי הסייבר השתמשו באפליקציות Microsoft OAuth זדוניות המתחזות לאפליקציות מוכרות כמו Adobe ו-DocuSign, במטרה להפיץ נוזקות ולגנוב אישורי גישה לחשבונות מיקרוסופט.
OAuth הוא תקן פתוח לאימות ואישור מבוססי טוקנים, המאפשר לשירותים של ספקים חיצוניים להשתמש בפרטי חשבון של משתמש מבלי לחשוף את סיסמתו. באמצעות OAuth, יישומים יכולים לקבל גישה לנתונים מסוימים לאחר שהמשתמש מעניק להם הרשאה, וזאת באמצעות אסימון גישה.
למעשה, Proofpoint חשפה קמפיין תקיפה מתוחכם ששם כמטרה את Microsoft OAuth כדי לעקוף מנגנוני אבטחה ולהשיג הרשאות גישה. במהלכם, הנוזקות מתחזות לשירותים לגיטימיים כמו Adobe Drive, Adobe Acrobat ו-DocuSign, ומבקשות הרשאות לגישה למידע בסיסי כגון פרופיל, אימייל ו-openid. הרשאות אלו אולי נראות פחות רגישות, אך הן מאפשרות לתוקפים לקבל את שמו המלא של המשתמש, המספר המזהה שלו, תמונתו בחשבון, שם התצוגה, כתובת המייל של המשתמש וכן את אישור זהותו ופרטי חשבון המיקרוסופט שלו. נציין כי על פי הדיווח לא מדובר בגישה ושליטה בחשבון המייל, אלא רק בכתובת עצמה, אך זו רק ההתחלה.
כך ההונאה עבדה
אז איך זה בעצם עובד? לאחר שהמשתמש מעניק את ההרשאות, התוקפים יכולים לגשת למידע זה ולהשתמש בו למתקפות ממוקדות יותר. בנוסף, לאחר אישור ההרשאות ב-Microsoft OAuth, המשתמשים הופנו לדפי נחיתה המציגים טופסי פישינג לאיסוף אישורי Microsoft 365 או להפצת נוזקות.
לפי הדיווח, הקמפיינים הללו כוונו למגוון תעשיות בארה"ב ובאירופה כולל ממשל, בריאות, שרשרת אספקה וקמעונאות. הודעות הפישינג נשלחו מחשבונות אימייל שנפרצו, ככל הנראה חשבונות Office 365, והשתמשו בפיתיונות כמו בקשות להצעות (RFP) וחוזים כדי להטעות את הנמענים לפתוח את הקישורים.
כאשר מתקפות הסייבר הופכות למתוחכמות וממוקדות יותר, האחריות על אבטחת המידע אינה נחלתם הבלעדית של מומחי אבטחה, אלא של כל משתמש ומשתמשת. פושעי הסייבר מנצלים לא רק פרצות טכנולוגיות, אלא גם את האמון הטבעי שלנו בשירותים מוכרים. במקרה הזה, אשליה של לגיטימיות הספיקה כדי לגרום לנפגעים לאשר גישה שתיראה תמימה – אך למעשה העניקה לתוקפים כוח רב יותר ממה שנראה לעין.
המציאות ברורה: אימות דו-שלבי, בדיקה מדוקדקת של בקשות הרשאה והבנה עמוקה יותר של הסכנות הן כבר לא אפשרויות, אלא הכרח. השאלה היא לא אם איומים כאלה יחזרו – אלא אם נהיה מוכנים בפעם הבאה.
