What is an OAuth consent phishing attack?

OAuth consent phishing is when an attacker creates a malicious app and tricks users into granting it access to their corporate accounts through the standard OAuth authorization flow. The app might be named "Security Audit Tool" or "IT Department Scanner" to appear legitimate. When a user clicks "Allow," the app receives tokens that grant access to their email, files, or other resources. Unlike password phishing, the attacker never needs your credentials. They operate with the permissions you granted. Microsoft's 2023 Digital Defense Report noted a 65% increase in OAuth-based attacks on enterprise tenants.

How often should you review the apps connected to your work accounts?

Review your connected apps at least once per quarter. Most employees are surprised by how many authorized apps accumulate over time. In Google Workspace, go to myaccount.google.com/permissions. In Microsoft 365, check myapps.microsoft.com. Look for apps you no longer use, apps with permissions broader than their function requires, and apps you don't recognize at all. Revoke anything you are unsure about. If the app is legitimate and you need it later, you can always re-authorize it with fresh consent.

OAuth-Risiken von Drittanbieter-Apps

Check what you gave permission to access.

What Is OAuth-Risiken von Drittanbieter-Apps?

Mit OAuth können Sie Drittanbieter-Apps mit einem einzigen Klick mit Ihren Arbeitskonten verbinden. Dieses Produktivitätstool, der Kalenderoptimierer oder das E-Mail-Plugin erhält Zugriff auf Ihre Daten über Token, die so lange bestehen bleiben, bis sie jemand widerruft. Das Problem: Schadhafte Apps nutzen denselben Autorisierungsablauf wie legitime. Ein Microsoft Digital Defense Report aus dem Jahr 2023 ergab, dass OAuth-basierte Angriffe auf Unternehmensmandanten im Jahresvergleich um 65 % zunahmen, wobei Consent-Phishing zu einem der häufigsten Erstzugriffsvektoren wurde. Diese Übung beginnt, wenn Sie einen Link erhalten, über den Sie ein neues Planungstool ausprobieren können, das ein Kollege empfiehlt. Auf dem OAuth-Zustimmungsbildschirm werden Sie um Zugriff auf Ihre E-Mails, Kontakte, Ihren Kalender und Ihre Dateien gebeten. Sie bewerten, ob diese Berechtigungen mit den tatsächlichen Anforderungen der App übereinstimmen. Ein Planungstool, das Ihren Kalender liest, ist sinnvoll. Ein Planungstool, das vollständigen Zugriff auf Ihren E-Mail- und Dateispeicher anfordert, tut dies nicht. Die Simulation führt Sie durch die Prüfung der Apps, die derzeit mit Ihrem Unternehmenskonto verbunden sind. Sie werden wahrscheinlich Tools finden, die Sie vor Monaten autorisiert und vergessen haben und von denen einige noch über aktive Token mit umfassenden Berechtigungen verfügen. Sie erfahren, wie Sie unnötigen Zugriff widerrufen, neue Berechtigungsanfragen anhand einer praktischen Checkliste bewerten und Consent-Phishing-Kampagnen erkennen, bei denen Angreifer schädliche Apps mit Namen wie „Sicherheitsupdate erforderlich“ oder „IT-Abteilungstool“ registrieren.

What You'll Learn in OAuth-Risiken von Drittanbieter-Apps

Bewerten Sie OAuth-Zustimmungsbildschirme, indem Sie die angeforderten Berechtigungen mit dem vergleichen, was eine App rechtmäßig zum Funktionieren benötigt
Überprüfen Sie alle Anwendungen von Drittanbietern, die derzeit mit Ihren Unternehmenskonten verbunden sind, und identifizieren Sie diejenigen mit übermäßigen oder unnötigen Berechtigungen
Widerrufen Sie OAuth-Tokens für ungenutzte, verdächtige oder übermäßig berechtigte Anwendungen von Drittanbietern
Erkennen Sie Consent-Phishing-Angriffe, bei denen sich bösartige Apps als legitime IT- oder Sicherheitstools tarnen
Wenden Sie den App-Genehmigungsprozess Ihrer Organisation an, bevor Sie neuen Tools von Drittanbietern den Zugriff auf Unternehmensdaten gestatten

OAuth-Risiken von Drittanbieter-Apps — Training Steps

Eine Produktivitätsempfehlung

Sie fühlen sich mit der Kalenderverwaltung und den E-Mail-Nachverfolgungen überfordert. Ihr Kollege Marcus hat ein Tool erwähnt, das ihm geholfen hat, organisiert zu bleiben.
Marcus' Empfehlung

Sie erhalten eine E-Mail von Marcus über das von ihm erwähnte Produktivitätstool.
Verbinden der App

Das Tool klingt genau nach dem, was Sie brauchen. Marcus ist ein vertrauenswürdiger Kollege, der nichts Schädliches empfehlen würde. Sie klicken auf den Link, um SmartSync Pro auszuprobieren.
Autorisieren der App

Die SmartSync Pro-Seite sieht professionell aus und verspricht nützliche Funktionen. Um die App zu verbinden, müssen Sie sie über Ihr Meridian Workspace-Konto autorisieren.
Der OAuth-Zustimmungsbildschirm

Sie werden zum Meridian Workspace-Portal Ihres Unternehmens weitergeleitet, wo ein Zustimmungsbildschirm angezeigt wird, in dem Sie aufgefordert werden, SmartSync Pro zu autorisieren. Die App fordert Zugriff auf Ihr Konto an. Sie müssen die Berechtigungen überprüfen und auf „Zulassen“ klicken, um die App zu verbinden.
App erfolgreich verbunden

SmartSync Pro ist jetzt mit Ihrem Meridian-Konto verbunden. Der Bestätigungsbildschirm zeigt an, dass die App nun auf Ihre Daten zugreifen kann. Sie schließen das Fenster und fahren mit Ihrem Tag fort, zufrieden, dass Sie nun über eine bessere Kalenderverwaltung verfügen.
Drei Wochen später

Drei Wochen vergehen. Sie haben SmartSync Pro für Kalendererinnerungen verwendet – obwohl es nicht so ausgefeilt zu sein scheint, wie Marcus es beschrieben hat. Eines Morgens erhalten Sie eine dringende E-Mail von der IT-Sicherheit.
Ein sinkendes Gefühl

Ihr Herz sinkt, wenn Sie die Warnung lesen. Das von Ihnen installierte Produktivitätstool hat heimlich Ihre Daten erfasst. Im Finanzdienstleistungssektor könnte diese Art der Offenlegung von Daten schwerwiegende regulatorische Folgen haben. Sie müssen sich umgehend an die IT-Sicherheit wenden.
Was schief gelaufen ist

David von der IT-Sicherheit erklärte, dass es sich bei SmartSync Pro nicht um ein legitimes Produktivitätstool handele, sondern um eine Datenerfassungsanwendung, die darauf ausgelegt sei, Unternehmensinformationen zu stehlen. Aber warten Sie – Marcus hat es empfohlen. Alice erkennt, dass sie überprüfen sollte, ob Marcus diese E-Mail tatsächlich gesendet hat. Sie öffnet die ursprüngliche Nachricht, um sie genauer zu untersuchen.
Untersuchung des Absenders

Alice schaut sich Marcus‘ ursprüngliche E-Mail noch einmal an und beschließt zu überprüfen, ob Marcus sie tatsächlich gesendet hat.

What Is OAuth-Risiken von Drittanbieter-Apps?

What You'll Learn in OAuth-Risiken von Drittanbieter-Apps

OAuth-Risiken von Drittanbieter-Apps — Training Steps

Eine Produktivitätsempfehlung

Marcus' Empfehlung

Verbinden der App

Autorisieren der App

Der OAuth-Zustimmungsbildschirm

App erfolgreich verbunden

Drei Wochen später

Ein sinkendes Gefühl

Was schief gelaufen ist

Untersuchung des Absenders