What is an OAuth consent phishing attack?

OAuth consent phishing is when an attacker creates a malicious app and tricks users into granting it access to their corporate accounts through the standard OAuth authorization flow. The app might be named "Security Audit Tool" or "IT Department Scanner" to appear legitimate. When a user clicks "Allow," the app receives tokens that grant access to their email, files, or other resources. Unlike password phishing, the attacker never needs your credentials. They operate with the permissions you granted. Microsoft's 2023 Digital Defense Report noted a 65% increase in OAuth-based attacks on enterprise tenants.

How often should you review the apps connected to your work accounts?

Review your connected apps at least once per quarter. Most employees are surprised by how many authorized apps accumulate over time. In Google Workspace, go to myaccount.google.com/permissions. In Microsoft 365, check myapps.microsoft.com. Look for apps you no longer use, apps with permissions broader than their function requires, and apps you don't recognize at all. Revoke anything you are unsure about. If the app is legitimate and you need it later, you can always re-authorize it with fresh consent.

Ризики OAuth у сторонніх додатках

Check what you gave permission to access.

Що таке Ризики OAuth у сторонніх додатках?

OAuth дозволяє підключати сторонні додатки до Ваших робочих облікових записів одним натисканням. Цей інструмент продуктивності, оптимізатор календаря або поштовий плагін отримує доступ до Ваших даних через токени, які діють до їх відкликання. Проблема полягає в тому, що шкідливі додатки використовують той самий потік авторизації, що й легітимні. Звіт Microsoft Digital Defense Report за 2023 рік показав, що OAuth-атаки на корпоративних тенантів зросли на 65% порівняно з попереднім роком, а consent phishing став одним з основних векторів початкового доступу. Ця вправа починається, коли Ви отримуєте посилання на новий інструмент планування, рекомендований колегою. Екран OAuth-згоди запитує доступ до Вашої електронної пошти, контактів, календаря та файлів. Ви оцінюєте, чи відповідають ці дозволи реальним потребам додатку. Інструмент планування, що читає Ваш календар, має сенс. Інструмент планування, що запитує повний доступ до Вашої пошти та файлового сховища, — ні. Симуляція проведе Вас через аудит додатків, підключених до Вашого корпоративного облікового запису. Ви, скоріш за все, знайдете інструменти, які авторизували місяці тому і забули, деякі з яких все ще мають активні токени з широкими дозволами. Ви навчитеся відкликати непотрібний доступ, оцінювати нові запити дозволів за практичним контрольним списком та розпізнавати кампанії consent phishing, де зловмисники реєструють шкідливі додатки з назвами на кшталт 'Security Update Required' або 'IT Department Tool'.

Що ви дізнаєтесь у Ризики OAuth у сторонніх додатках

Оцінювати екрани OAuth-згоди, порівнюючи запитувані дозволи з тим, що додатку легітимно потрібно для функціонування
Проводити аудит усіх сторонніх додатків, підключених до Ваших корпоративних облікових записів, та виявляти ті, що мають надмірні або непотрібні дозволи
Відкликати OAuth-токени невикористовуваних, підозрілих або надмірно привілейованих сторонніх додатків
Розпізнавати атаки consent phishing, де шкідливі додатки маскуються під легітимні ІТ-інструменти або інструменти безпеки
Застосовувати процес затвердження додатків у Вашій організації перед авторизацією нових сторонніх інструментів для доступу до корпоративних даних

Ризики OAuth у сторонніх додатках — Кроки навчання

Рекомендація щодо продуктивності

Ви відчували себе перевантаженими керуванням календарем і подальшими повідомленнями електронною поштою. Ваш колега Маркус згадав інструмент, який допоміг йому залишатися організованим.
Рекомендація Маркуса

Ви отримуєте електронний лист від Маркуса про згаданий ним інструмент продуктивності.
Підключення програми

Інструмент звучить саме так, як вам потрібно. Маркус — надійний колега, який не порадить щось шкідливе. Ви клацаєте посилання, щоб перевірити SmartSync Pro.
Авторизація програми

Сторінка SmartSync Pro виглядає професійно та обіцяє корисні функції. Щоб підключити програму, її потрібно авторизувати через обліковий запис Meridian Workspace.
Екран згоди OAuth

Вас буде перенаправлено на портал Meridian Workspace вашої компанії, де відобразиться екран згоди з проханням авторизувати SmartSync Pro. Програма запитує доступ до вашого облікового запису. Вам потрібно переглянути дозволи та натиснути «Дозволити», щоб підключити програму.
Додаток підключено успішно

Тепер SmartSync Pro підключено до вашого облікового запису Meridian. Екран підтвердження показує, що програма тепер може отримати доступ до ваших даних. Ви закриваєте вікно та продовжуєте свій день, задоволені тим, що тепер у вас є краще керування календарем.
Через три тижні

Минає три тижні. Ви використовували SmartSync Pro для календарних нагадувань, хоча це не здається таким складним, як описав Маркус. Одного ранку ви отримуєте терміновий електронний лист від IT Security.
Відчуття занурення

У вас стискається серце, коли читаєте оповіщення. Інструмент підвищення продуктивності, який ви встановили, таємно збирав ваші дані. У фінансових послугах таке розкриття даних може мати серйозні регуляторні наслідки. Вам потрібно негайно звернутися до IT Security.
Що пішло не так

Девід з IT Security пояснив, що SmartSync Pro не є законним інструментом підвищення продуктивності – це програма збору даних, призначена для крадіжки корпоративної інформації. Але зачекайте - Маркус порадив це. Аліса розуміє, що їй слід перевірити, чи справді Маркус надіслав цей електронний лист. Вона відкриває оригінальне повідомлення, щоб уважніше його розглянути.
Перевірка відправника

Знову переглядаючи оригінальний електронний лист Маркуса, Аліса вирішує перевірити, чи дійсно Маркус його надіслав.

Що таке Ризики OAuth у сторонніх додатках?

Що ви дізнаєтесь у Ризики OAuth у сторонніх додатках

Ризики OAuth у сторонніх додатках — Кроки навчання

Рекомендація щодо продуктивності

Рекомендація Маркуса

Підключення програми

Авторизація програми

Екран згоди OAuth

Додаток підключено успішно

Через три тижні

Відчуття занурення

Що пішло не так

Перевірка відправника