Phishing mit Zustimmung: Microsoft warnt Unternehmen vor Angriffen via OAuth

Microsoft warnt in Corona-Zeiten vor "Consent Phishing"-Kampagnen, die sich OAuth-Zustimmungen ergaunern, um Daten aus der Cloud abzugreifen.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Phishing mit Zustimmung: Microsoft warnt Unternehmen vor Angriffen via OAuth

(Bild: HAKINMHAN / Shutterstock.com)

Lesezeit: 3 Min.

Microsoft warnt derzeit vor "Consent Phishing"- oder auch "OAuth-Phishing"-Kampagnen, die in erster Linie auf Unternehmen beziehungsweise auf deren Mitarbeiter abzielen. Unter falschem Vorwand würden Nutzer – oft via E-Mail – dazu gebracht, Angreifern per OAuth-Authentifizierung (Open Authorization) Zugriff auf (Unternehmens-)Daten in der Cloud zu gewähren.

In Zeiten, in denen Unternehmen vermehrt auf Home Office und zur Datenverwaltung auf Cloud-Services setzen, würden Angreifer auch verstärkt nach Mitteln und Wegen suchen, sich Zugriff auf eben diese Daten zu verschaffen, heißt es sinngemäß in einem Eintrag zu der relativ neuen Phishing-Masche im Microsoft-Blog.

Ein zweiter Blogeintrag erhellt die Hintergründe der aktuellen Warnung noch etwas mehr: Microsofts Corporate Vice President Tom Burt berichtet dort von rechtlichen Schritten, die das Unternehmen kürzlich gegen Cybergangster unternahm, die in den vergangenen Monaten eine Reihe gezielter OAuth-Phishing-Angriffe auf Office 365-Accounts durchführten.

Das OAuth-Protokoll, das mittlerweile vorwiegend in Version 2.0 zum Einsatz kommt, ermöglicht die passwortlose Anmeldung mittels geheimem Access-Token an Web-, Desktop- oder mobilen Anwendungen über den Umweg eines vertrauenswürdigen Dienstes. Beispiele hierfür sind Funktionen wie "Mit Google einloggen" oder "Mit Apple anmelden".

Beim OAuth-Phishing bauen Kriminelle zunächst die OAuth-Schnittstelle eines vertrauenswürdigen Dienstanbieters in ihre eigenen Anwendungen ein. Als Beispiel nennt Microsoft im Blogeintrag seine Cloudlösung Azure Active Directory als OAuth-Provider. Die App wird dann (etwa unter Verwendung eines Marken- oder Produktnamens nebst passender Corporate Identity) so konfiguriert und gestaltet, dass sie möglichst vertrauenswürdig erscheint.

Nutzer müssen im nächsten Schritt dazu gebracht werden, auf einen Link zu klicken, der sie zu der präparierten (Web-)Anwendung weiterleitet. Dieser Link kann etwa via E-Mail im passenden Business-Kontext verteilt oder auf einer kompromittierten Website platziert werden. Die präparierte App erbittet dann über eine legitime OAuth-Meldung ("Consent Prompt") diverse Zugriffsberechtigungen auf Dienste und hinterlegte (Cloud-)Inhalte.

Klickt der Nutzer auf "Accept" im Consent Prompt der schädlichen App, erteilt er ihr damit die gewünschten Berechtigungen.

(Bild: Microsoft)

Sofern der Plan aufgeht, erteilt der Nutzer die Berechtigungen. App beziehungsweise Gangster erhalten das gewünschte, zeitlich begrenzt gültige Access-Token und unter Umständen auch noch ein (länger gültiges) Refresh-Token.

Wie aus Tom Burts Blogeintrag mit dem Titel "Microsoft takes legal action against COVID-19-related cybercrime" hervorgeht, beobachtete Microsoft gezielte OAuth-Phishing-Angriffe gegen Office 365-Accounts seit Dezember 2019. Betroffen waren demnach Kunden aus 62 Ländern weltweit. Die Vorgehensweise der verantwortlichen Gang gleicht jener aus der allgemeinen Beschreibung im Microsoft-Blog, wobei die Spam-Mails zunächst mit generischen Business-Begriffen und -Vorwänden getarnt gewesen seien. Kürzlich hätten dieselben Angreifer dann begonnen, auf COVID-19-Begrifflichkeiten zu setzen.

(Bild: blogs.microsoft.com)

Microsoft klagte vor einem US-Gericht gegen Unbekannt und erwirkte nun die Erlaubnis, sechs Domains zu beschlagnahmen, die Teil der Infrastruktur der Phsihing-Gang gewesen seien. Aus Burts Sicht sei dies ein wichtiger Schritt zum Schutz der Unternehmenskunden.

Dass die Gangster ihre Aktivitäten problemlos mit neu registrierten Domains fortsetzen könn(t)en, erwähnt Burt im Blogeitrag nicht. Allerdings macht die Tatsache, dass der Blogeintrag mit der allgemeinen Warnung einen Tag nach Burts Erfolgsmeldung veröffentlicht wurde, deutlich, dass auch Microsoft die Gefahr längst nicht als gebannt betrachtet.

(ovw)