พบการโจมตีแบบฟิชชิ่งบน Microsoft 365 ผ่านแอพ OAuth

พบการโจมตีแบบฟิชชิ่งผ่านโฆษณาอีเมล Coinbase-themed บน Microsoft 365 ผ่านแอพ OAuth ทำให้แฮกเกอร์สามารถเข้ายึดบัญชีอีเมลของผู้ใช้ได้

ในตอนนี้แอพ Microsoft Office 365 OAuth ถูกแฮกเกอร์นำมาใช้เพื่อทำการโจมตีผู้ใช้งานอีเมล Microsoft 365 มากขึ้น

โดยแฮกเกอร์จะส่งอีเมลโฆษณาไปยังผู้ใช้งาน Coinbase เพื่อให้ผู้ใช้กดยอมรับเงื่อนไขการบริการ ซึ่งหากผู้ใช้กดยอมรับ มนัจะเข้าไปสู่หน้า Login เข้าบัญชี Microsoft

ที่มาภาพ: Bleeping Computer

ถ้าผู้ใช้ Login เข้าไป มันจะเข้าสู่หน้าขอสิทธิ์ User.Read, Mail.Read และ Mail.ReadWrite ในบัญชีของผู้ใช้


ที่มาภาพ: Bleeping Computer

ซึ่งหากกดยอมรับแฮกเกอร์สามารถเข้าถึงข้อมูลต่างๆ ได้ ดังนี้

  • Read your profile (User.read) จะอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้แอพ และอนุญาตให้แอพอ่านข้อมูลของผู้ใช้ นอกจากนี้ยังอนุญาตให้แอพอ่านข้อมูลพื้นฐานที่เกี่ยวกับบริษัทของผู้ใช้ได้อีกด้วย
  • Read your mail (Mail.Read) อนุญาตให้แอพอ่านจดหมายใน inbox ของผู้ใช้
  • Read and write access to your mail (Mail.ReadWrite) อนุญาตให้แพ สร้าง, อ่าน, อัปเดต และลบจดหมายของผู้ใช้ในกบ่องจดหมายได้ โดยไม่ต้องขออนุญาตใดๆ

ในตอนนี้ทาง Office 365 กำลังตรวจสอบว่ามีแอพใดบ้างที่มีการอนุญาตหรื่อเชื่อมต่อบัญชีแบบนี้บ้าง เพื่อเป็นการป้องกันเบื้องต้น ผู้ใช้สามารถไปตรวจสอบดูว่ามีแอพใดบ้างที่มีการเชื่อมต่อแบบนี้ โดย Login เข้าบัญชี Office 365 ของคุณ จากนั้นลองดูว่ามีแอพใดบ้าง ที่อนุญาตให้เข้าถึงข้อมูล

หากมีใให้ทำการลบการตั้งค่าการเข้าถึงออก โดยคลิกไปที่แอพ แล้วคลิกที่ปุ่ม ‘Remove these permissions’ ออกไป

ในส่วนของผู้ดูแลระบบของ Microsoft 365 สามารถดูวิธีการลบแอพไได้ที่ Detect and Remediate Illicit Consent Grants

แอพ Office 365 OAuth เป็นแอพที่อนุญาตให้บุคคลที่สามสามารถเข้าถึงบัญชีของผู้ใช้ในนามของแอพเหล่านั้นได้ แอพเหล่านั้นถูกนำมาใช้เพื่อกรองสแปม สแกนไวรัส หรือใช้งานปฎิทิน เป็นต้น
ด้วยเหตุนี้เอง จึงเป็นช่องโหว่ที่ช่วยให้แฮกเกอร์นำมาใช้เพื่อทำการโจมตีแบบฟิชชิ่งได้

ที่มา : Bleeping Computer