Microsoft waarschuwt gebruikers van Office 365 voor phishingaanvallen via malafide apps, waarbij multifactorauthenticatie wordt omzeild. Slachtoffers worden niet gevraagd hun inloggegevens op een phishingpagina in te voeren, noch is het wijzigen van wachtwoorden voldoende om aanvallers de toegang tot het account te ontzeggen. Hoe ze dit doen en wat jij en je collega’s hiertegen kunnen doen, leggen we hieronder uit.

De wereldwijde pandemie heeft de manier waarop mensen werken drastisch veranderd. Als gevolg hiervan hebben organisaties over de hele wereld cloudservices opgeschaald om samenwerking en productiviteit vanuit huis te ondersteunen. We zien ook dat meer apps gebruikmaken van het identiteitsplatform van Microsoft. Dit gebeurt met name in samenwerkings-apps zoals Zoom, Webex Teams, Box en Microsoft Teams. Met het toegenomen gebruik van cloud-apps en de verschuiving naar thuiswerken, zijn beveiliging en de manier waarop jij en je collega’s toegang krijgen tot bedrijfsmiddelen nog belangrijker voor bedrijven.

Het gebruik van applicaties is versneld en aanvallers gebruiken deze om ongerechtvaardigd toegang te krijgen tot waardevolle gegevens in cloudservices. Je bent waarschijnlijk beter bekend met aanvallen die op gebruikers zijn gericht, zoals phishing via e-mail of ransomeware. Aan dit rijtje kun je dus nu ook phishingaanval via apps toevoegen.

Toestemming phishing: een op apps gebaseerde bedreiging om in de gaten te houden

Tegenwoordig bouwen ontwikkelaars apps door gebruikers- en organisatiegegevens van cloudplatforms te integreren. Deze cloudplatforms zijn rijk aan gegevens, maar hebben op hun beurt kwaadwillende actoren aangetrokken die ongerechtvaardigde toegang tot deze gegevens willen krijgen. Een dergelijke aanval is toestemmingsphishing, waarbij aanvallers gebruikers misleiden om via een ​​kwaadaardige app toegang te krijgen tot gevoelige gegevens of andere bronnen. In plaats van te proberen het wachtwoord van de gebruiker te stelen, vraagt ​​een aanvaller toestemming voor een app die door hem wordt beheerd.

Hoewel elke aanval varieert, zien de kernstappen er meestal ongeveer zo uit :

  1. Een aanvaller registreert een app bij een OAuth 2.0-provider, zoals Azure Active Directory.
  2. De app is zo geconfigureerd dat deze betrouwbaar lijkt, zoals het gebruik van de naam van een populair product dat in hetzelfde ecosysteem wordt gebruikt.
  3. De aanvaller krijgt een link voor gebruikers, wat kan worden gedaan door middel van conventionele op e-mail gebaseerde phishing, door een niet-schadelijke website of andere technieken in gevaar te brengen.
  4. De gebruiker klikt op de link en krijgt een authentieke toestemmingsprompt te zien waarin hem wordt gevraagd de kwaadaardige app-machtigingen voor gegevens te verlenen.
  5. Als een gebruiker op accepteren klikt, geeft hij de app toestemming om toegang te krijgen tot gevoelige gegevens.
  6. De app krijgt een autorisatiecode die wordt ingewisseld voor een toegangstoken en mogelijk een vernieuwingstoken.
  7. Het toegangstoken wordt gebruikt om namens de gebruiker API-aanroepen te doen.

Als de gebruiker accepteert, kan de aanvaller toegang krijgen tot zijn e-mail, doorstuurregels, bestanden, contacten, notities, profiel en andere gevoelige gegevens en bronnen.

Een afbeelding van een toestemmingsscherm van een voorbeeld van een kwaadaardige app met de naam 'Risky App'.
Toestemmingsscherm van een voorbeeld van een kwaadaardige app genaamd “Risky App”

Hoe jij je organisatie kunt beschermen

Microsoft stelt zich met alle geïntegreerde beveiligingsoplossingen in staat om biljoenen signalen te evalueren en te monitoren om kwaadaardige apps te helpen identificeren. Op basis van die signalen zijn ze in staat geweest om kwaadaardige apps te identificeren en maatregelen te nemen door deze uit te schakelen en te voorkomen dat gebruikers er toegang toe krijgen. 

Microsoft blijft investeren in manieren om ervoor te zorgen dat de applicatie-ecosysteem veilig is. Hoewel aanvallers altijd blijven bestaan, zijn er stappen die jij kunt nemen om je organisatie verder te beschermen. Enkele praktische tips:

  • Informeer je organisatie over phishingtactieken voor toestemming:
    • Controleer op slechte spelling en grammatica. Als een e-mailbericht of het toestemmingsscherm van de toepassing spellings- en grammaticafouten bevat, is het waarschijnlijk een verdachte toepassing.
    • Houd app-namen en domein-URL’s goed in de gaten. Aanvallers houden ervan om app-namen te vervalsen waardoor het lijkt alsof ze afkomstig zijn van legitieme applicaties of bedrijven, maar je ertoe te brengen in te stemmen met een kwaadaardige app. Zorg ervoor dat je de app-naam en domein-URL herkent voordat je toestemming geeft voor een applicatie.
  • Promoot en geef alleen toegang tot apps die je vertrouwt :
    • Promoot het gebruik van applicaties die door de uitgever zijn geverifieerd. Verificatie van uitgevers helpt beheerders en eindgebruikers de authenticiteit van applicatieontwikkelaars te begrijpen. Tot nu toe zijn meer dan 660 aanvragen van 390 uitgevers geverifieerd.
    • Configureer het toestemmingsbeleid voor apps door gebruikers alleen toestemming te geven voor specifieke applicaties die je vertrouwt, zoals applicaties die zijn ontwikkeld door je organisatie of door geverifieerde uitgevers.
  • Informeer je organisatie over hoe Microsoft toestemmingen en toestemming werkt:
    • Begrijp de gegevens en toestemmingen waar een applicatie om vraagt ​​en begrijp hoe toestemmingen en toestemming binnen het Microsoft platform werken.
    • Zorg ervoor dat beheerders weten hoe ze toestemmingsverzoeken kunnen beheren en evalueren .
    • Controleer apps en goedgekeurde toestemmingen in je organisatie om ervoor te zorgen dat applicaties die worden gebruikt alleen toegang krijgen tot de gegevens die ze nodig hebben en zich houden aan de principes van de minste privileges.

Het toegenomen gebruik van cloudapplicaties heeft aangetoond dat de applicatiebeveiliging moet worden verbeterd. Microsoft doet er alles aan om mogelijkheden te ontwikkelen die je proactief beschermen tegen kwaadaardige apps.

Meer weten?