Phishing-tactiek die OAuth2 toegang verleent tot gebruikersgegevens zonder wachtwoord

Microsoft waarschuwt gebruikers van Office 365 voor nieuwe phishing-tactiek die gebruikmaakt van het OAuth2-framework en het OpenID Connect-protocol (OIDC) om toegang te krijgen tot gebruikersgegevens. De phishing is geen typische referentie-oogstmachine, en zelfs als dat wel zo was, zou Multi-Factor Authentication (MFA) niet hebben geholpen. In plaats daarvan probeert het gebruikers te misleiden om machtigingen te verlenen aan een frauduleuze applicatie. Dit is niet de eerste keer dat de tactiek wordt toegepast, maar het herinnert er sterk aan dat phishing niet zal worden opgelost door multi-factor authenticatie.

Met de verleiding van een Q1-bonus is de e-mail gemaakt om een ​​normale uitnodiging voor een door SharePoint gehost bestand te lijken. Het vooruitzicht van een salarisverhoging is een effectief kunstaas dat ertoe kan leiden dat gebruikers ten prooi vallen.

Bron: Cofense

Nadat ze op de link hebben geklikt, worden gebruikers naar de legitieme Microsoft Office 365-inlogpagina geleid op https://login.microsoftonline.com (Figuur 2). Als men echter de URL in zijn geheel inspecteert, wat gemiddelde gebruikers waarschijnlijk niet zullen doen, wordt een sinister doel onthuld.

Anatomie van een URL

Allereerst een snelle introductie: toepassingen die namens een gebruiker toegang willen tot Office 365-gegevens, doen dit via Microsoft Graph-autorisaties. Ze moeten echter eerst een toegangstoken verkrijgen van het Microsoft Identity Platform. Dit is waar OAuth2 en OIDC binnenkomen. De laatste wordt gebruikt om de gebruiker te authenticeren die de toegang zal verlenen, en als de authenticatie succesvol is, machtigt de eerste (gedelegeerde) toegang voor de applicatie. Dit alles wordt gedaan zonder enige inloggegevens voor de applicatie bloot te leggen.

Bron: Cofense

“Microsoft staat het toe om buiten de Office Store om Office 365 Add-Ins en Apps via side loading te installeren, waardoor er geen enkele controle plaatsvindt. Dit houdt in dat een aanvaller een kwaadaardige app kan aanbieden aan elke gebruiker die op een link klikt en de gevraagde permissies toestaat”

Aldus Michael Tyler van beveiligingsbedrijf PhishLabs.

Microsoft heeft gisteren via een gerechtelijk bevel de controle gekregen over zes domeinen die werden gebruikt voor phishing aanvallen op Microsoft Office 365 gebruikers met als doel het plegen van BEC-fraude (pdf).

Als de aanvallers succesvol waren, konden ze alle e-mail van de slachtoffers pakken en toegang krijgen tot in de cloud gehoste documenten met gevoelige of vertrouwelijke informatie. Zodra de aanvaller gevoelige informatie heeft, kunnen ze deze gebruiken om slachtoffers af te persen voor een Bitcoin-losgeld. Dezelfde rechten kunnen ook worden gebruikt om de lijst met contactpersonen van de gebruiker te downloaden voor gebruik tegen nieuwe slachtoffers. Door het adresboek en oude e-mails te gebruiken, zou de aanvaller hyperrealistische phishing-e-mails met antwoord ketens kunnen maken.

Na het inloggen wordt de gebruiker gevraagd om nog een laatste keer te bevestigen dat hij of zij de applicatie de bovengenoemde machtigingen wil verlenen. Als gebruikers niet reageren, is het aan de domeinbeheerders om verdachte applicaties te herkennen en te behandelen die hun gebruikers mogelijk ten onrechte hebben goedgekeurd.

De OAuth2-phishing is een relevant voorbeeld van aanpassing door tegenstanders. Het is niet alleen niet nodig om inloggegevens in gevaar te brengen, maar ook geprezen beveiligingsmaatregelen zoals MFA worden omzeild; het zijn gebruikers zelf die onbewust kwaadwillende toegang tot hun gegevens goedkeuren.

7 redenen om te betalen voor antivirussoftware en de gratis versies over te slaan

Zeven redenen waarom het overslaan van de gratis antivirus het beste voor u is.

Nu cybercriminelen steeds geniepiger en ingenieuzer worden, is het nog nooit zo belangrijk geweest om uw computer te beschermen tegen virussen en malware.

Maar met gratis antivirussoftware die steeds indrukwekkendere functielijsten krijgt en steeds uitgebreidere bescherming wordt ingebouwd in besturingssystemen zoals Windows 10 en MacOS, groeit de gedachte dat betalen voor een antivirusservice niet langer een noodzaak is.

Desalniettemin, of u ervoor kiest om voor antivirussoftware te betalen, zal waarschijnlijk afhangen van hoe u met de online wereld omgaat en hoeveel u moet verliezen als uw computer in gevaar komt.

1. Een breder scala aan functies

Het sterkste argument is dat u betaalt voor uw bescherming. Bedreigingen van online fraudeurs en hackers gaan tegenwoordig veel verder dan alleen virussen en malware. In tegenstelling tot de meeste freeware antivirussoftware, bieden betaalde oplossingen meestal een volledige reeks tools en functies in één bundel, waardoor u een veel breder scala aan bescherming tot uw beschikking heeft. Deze add-ons bevatten vaak het volgende:

  • Anti-phishing : hoewel moderne webbrowsers nu enige mate van anti-phishing bieden, bieden betaalde pakketten vaak hun eigen, meestal superieure bescherming tegen dergelijke aanvallen, waardoor u wordt gewaarschuwd voor gevaarlijke websites en berichten die bedoeld zijn om uw gegevens te stelen.
  • VPN : vooral handig voor mensen die niet thuis werken, VPN-functies (Virtual Private Network) leiden uw webverkeer om, bieden een beschermingslaag bij het gebruik van openbare Wi-Fi en kunnen het land simuleren waarin u zich bevindt, zodat u toegang hebt tot services die anders geblokkeerd in uw gastland.
  • Anti-ransomware : een groeiend gebied van online fraude en afpersing, premium oplossingen bieden ingebouwde functies die voorkomen dat ransomware virussen uw gegevens blokkeren. Dit werkt vaak doordat de gebruiker mappen op zijn harde schijf selecteert die niet toegankelijk zijn voor niet-geautoriseerde programma’s.
  • Extra beveiliging voor online bankieren : veel premium AV-services activeren en verhogen automatisch uw browserbeveiliging wanneer u websites voor online bankieren bezoekt.
  • Wachtwoordmanagers : de functie biedt meer beveiliging voor uw online accounts en stelt u in staat automatisch in te loggen op sites en services met uw gegevens opgeslagen in een veilig gecodeerde wachtwoordkluis.

2. Gebruiksgemak

Hoewel er tal van afzonderlijke, speciale programma’s zijn die alle hierboven genoemde taken uitvoeren, en in sommige gevallen effectiever, kan het beheer van uw beveiliging een veel gemakkelijkere manier zijn om bedreigingen het hoofd te bieden als ze allemaal in één programma zijn gebundeld.

3. Ondersteuning op afroep

Gratis antivirussoftware bevat zelden technische of telefonische ondersteuning, wat over het algemeen standaard is met betaalde opties. Als u een probleem tegenkomt terwijl u een gratis oplossing gebruikt, bent u vaak overgeleverd aan FAQ-pagina’s of gebruikersforums om elk probleem dat u ondervindt op te lossen. In een situatie waarin u het slachtoffer bent van een ransomware-aanval, kan een vertraging bij het verkrijgen van een oplossing rampzalig zijn. Bitdefender, Norton en Kaspersky bieden allemaal uitgebreide ondersteuningsopties, waaronder telefoonlijnen en livechat.

4. Betere dekking voor bedrijven

Het is één ding om ervoor te zorgen dat de persoonlijke laptop die u gebruikt voor Netflix en chill veilig is, maar als u uw machine voor zaken gebruikt, heeft u waarschijnlijk verschillende bedreigingen en beveiligingsbehoeften. Als u een kleine organisatie runt met een aantal computers die worden gebruikt en klantgegevens worden opgeslagen, moet u rekening houden met verschillende niveaus van technische bekwaamheid en veilige browse- en downloadgewoonten bij het personeel, waardoor u een uitgebreider beveiligingssysteem krijgt vitaler.

5. Bescherming voor het hele gezin

Het internet is helaas niet een plek die kinderen veilig zelf kunnen verkennen. Daartoe hebben antivirusprogramma’s meestal een soort functionaliteit voor ouderlijk toezicht in de software ingebakken. Betaald voor antivirus levert u meestal een licentie om de software op verschillende machines uit te voeren – in tegenstelling tot gratis alternatieven – wat betekent dat u de computers van uw hele huishouden kunt beschermen met slechts één betaling.

6. E-mailbeveiliging

E-mail blijft voor fraudeurs nog steeds een van de meest waarschijnlijke manieren om uw gegevens via virussen en trojans in gevaar te brengen.

Een toevallige klik op een ogenschijnlijk onschuldig ogende afbeelding of links in een bericht kan ertoe leiden dat uw computer geïnfecteerd raakt. Premium antivirussen scannen automatisch inkomende berichten en bijlagen en waarschuwen u voor verdachte bestanden en potentiële bedreigingen.

7. Efficiënter

Antivirussoftware had vroeger een welverdiende reputatie omdat het software hongerige software was. Vaak veroorzaakte het dat uw machine tot stilstand kwam tijdens het scannen van uw systeem, soms voelde het alsof de software een even grote belemmering was als het hebben van een echt virus op uw computer. Premium-oplossingen hebben tegenwoordig gelukkig een veel kleinere impact op uw systeem, draaien op de achtergrond met een minimum aan prestaties van uw computer en zijn meestal veel efficiënter dan hun gratis alternatieven.

Phishing, wat kunt u ertegen doen?

Phishing / Smishing

Bij phishing of smishing vissen fraudeurs via valse e-mails of SMS-berichten onder andere naar vertrouwelijke identiteitsgegevens en uw beveiligingscodes voor internetbankieren, mobiel bankieren en betaalkaarten. Daarmee kunnen ze misbruik maken van uw identiteit, bankrekening en betaalinstrumenten. De fraudeurs hengelen dan bijvoorbeeld naar een kopie van uw paspoort, rijbewijs of bankpasje; naar uw wachtwoord en speciale nummercodes voor internetbankieren of naar uw pincodes voor mobiel bankieren, uw bankpas of uw creditkaart.

Phishing/Smishing is vaak gericht op een grote groep mensen tegelijk maar kan ook specifiek op één persoon of een kleine groep gericht zijn (spear phishing). Bij spear phishing gebruiken fraudeurs gerichte en persoonlijke informatie over hun doelwitten, zoals naam en adres, beroep, werkgever, rekeningnummer of kenteken.

Loader Loading…
EAD Logo Taking too long?

Reload Reload document
| Open Open in new tab

Download

Fraude met automatisch aanvullen van Chrome wordt door Microsoft bestreden

In theorie bent u de enige die kan inloggen op uw apparaat en toegang kan krijgen tot uw gegevens, voor het automatisch aanvullen. In de praktijk is dit niet altijd het geval. Gebruikers die zich bewust zijn van vrienden die toegang hebben tot hun accounts, kunnen zich soms afmelden voor de functie van automatisch aanvullen, maar de afwezigheid ervan wordt ongetwijfeld opgemerkt wanneer u talloze wachtwoorden moet onthouden.

Microsoft ingenieurs hebben nu de zorgen van gebruikers in een post op GitHub aangepakt:

Gebruikers die hun apparaten snel met familie en vrienden willen delen, hebben hun bezorgdheid geuit over het feit dat hun accounts zonder hun toestemming worden geopend vanwege het gedrag van automatisch aanvullen in de browser. Overweeg bijvoorbeeld een gebruiker, User A, die zijn legitimatiegegevens heeft social.example opgeslagen in de browser voor het gemak van inloggen. Zelfs als User A uitlogt bij zijn social.example account voordat hij zijn apparaat aan User B (een vriend of familielid) overhandigt om te lenen, zal automatisch aanvullen nog steeds automatisch de opgeslagen referentie van User A in het inlogformulier injecteren als User B naar de social.example  startpagina navigeert. Hierdoor kan User B met één klik inloggen op het account van User A. Bovendien kan User B  triviaal  de platte tekst van het geïnjecteerde wachtwoord onthullen.

Het idee van een oplossing voor een masterwachtwoord gaat meer dan 10 jaar terug, maar Microsoft volgde het idee niet op omdat ze niet zeker waren ‘of een functie voor een masterwachtwoord die niet wordt ondersteund door ofwel legitimatiegegevens per inloggegevens, of een volledige inloggegevenscodering’, die gebruikers naar een vals gevoel van veiligheid geven omdat lokale aanvallers over het algemeen buiten het browserbedreigingsmodel vallen.

we gaan nu snel vooruit naar 2020, Microsoft heeft nu een oplossing voorgesteld die deze zorgen wegneemt. “Op basis van gebruikersonderzoek / feedback” suggereert het bedrijf dat “een standaard uitgeschakelde OS-verificatie-hook in het Chromium auto fill-code pad” de oplossing is.

Een dergelijke her-verificatie hook kan het opnieuw invoeren van een wachtwoord op OS-niveau inhouden, maar kan ook biometrische oplossingen met een lagere wrijving op apparaten en besturingssystemen omvatten die deze ondersteunen. Of, en zo ja hoe, user-agents ervoor kiezen om een ​​gebruikersinterface te bouwen rond deze her-authenticatie hook om ervoor te zorgen dat hun gebruikers het bedreigingsmodel en de beperkingen ervan duidelijk kunnen begrijpen, valt buiten het bestek van deze uitleg.

Als de gebruiker zich aanmeldt voor de her-authenticatie hook, wil Microsoft dat de gebruiker zoveel mogelijk controle heeft over zijn UX. Hier is het voorstel op GitHub:

Deze woordvoerder stelt de toevoeging voor van een standaard uit functie voor en een besturingssysteem her-authenticatie in het Chromium auto fill-code pad. Hiermee wordt de bestaande logica voor her-verificatie van het besturingssysteem gebruikt die ook wordt gebruikt in de wachtwoordbeheerder van Chromium bij het bekijken of exporteren van opgeslagen wachtwoorden. En wordt een inhoudsinstelling toegevoegd om te configureren hoe lang een succesvolle her-verificatie geldig moet blijven. Standaard is deze inhoudsinstelling zo ingesteld dat er nooit verificatie vereist is, wat betekent dat zelfs als de build-flag die deze functionaliteit aanstuurt, is ingeschakeld, de her-verificatie hook niet functioneert totdat de user-agent de standaardwaarde aanpast (hoogstwaarschijnlijk door UX bloot te leggen).

Als u deze her-verificatie hook inschakelt en de standaardinstelling voor inhoud uitschakelt, wordt ook hetzelfde gedrag mogelijk gemaakt dat wordt bestuurd door de  Chromium fill-on-account-select-functie flag. Deze beslissing is genomen om ervoor te zorgen dat gebruikers niet om verificatie worden gevraagd totdat ze aangeven dat ze toegang willen tot hun opgeslagen gegevens.

Natuurlijk is het gedeelde apparaat scenario niet de enige mogelijkheid; maar Microsoft zei dat het ‘de basis legt voor toekomstige verbeteringen’.

We staan ​​open voor het verkennen van verdere investeringen in deze ruimte met andere uitvoerders om toegevoegde waarde te bieden aan gebruikers.

Zowel Chrome als Firefox hebben al Windows Hello-verificatie gebruikt om de weergave van opgeslagen wachtwoorden in Instellingen te autoriseren. We kunnen ervan uitgaan dat we niet zullen vragen nog een ander wachtwoord te onthouden, maar dat gebruikers waarschijnlijk de biometrische authenticatie van Windows Hello willen gebruiken om het automatisch invullen van wachtwoorden te autoriseren voor degenen die zich zorgen maken over hun gedeelde apparaten.

Zo misbruiken phishers Excel

Evil Corp heeft een nieuwe manier gevonden om hun slachtoffers te phishing met behulp van Microsoft Excel-documenten.

De cybercrime-groep, ook bekend als TA505 en SectorJo4, zijn financieel gemotiveerde cybercriminelen. Ze staan ​​erom bekend dat ze zich richten op retailbedrijven en financiële instellingen met grote kwaadaardige spamcampagnes, met behulp van Necurs botnet; maar nu hebben ze een nieuwe techniek overgenomen.

In hun nieuwste zwendel verzenden ze bijlagen met HTML-omleidingen met kwaadaardige Excel-documenten. Via de koppelingen verspreiden ze externe toegang Trojaanse paarden ( RAT’s ), evenals de malware-downloaders die de Dridex en Trick bank-Trojaanse paarden hebben geleverd. Dit omvat ook Locky, BitPaymer, Philadelphia, GlobeImposter, Jaff ransomware-soorten.

“De nieuwe campagne maakt gebruik van HTML-omleidingen die aan e-mails zijn toegevoegd. Wanneer geopend, leidt de HTML naar de download Dudear, een kwaadaardig macro-beladen Excel-bestand dat de nuttige lading laat vallen. In tegenstelling tot vorige Dudear e-mailcampagnes droegen de malware als een bijlage of gebruikten kwaadaardige URL’s.” – Onderzoekers van Microsoft Security Intelligence.

Bij het openen van de HTML-bijlage downloadt het slachtoffer automatisch het Excel-bestand. Zodra ze het openen, is dit wat ze tegenkomen:

Zodra het doelwit op “Enable Editing” klikt, zoals hen in het document wordt opgedragen, zullen ze de malware op hun systeem ontketenen. Na dit punt zal hun apparaat ook worden geïnfecteerd met een IP-traceback-service, die “de IP-adressen van machines volgt die het schadelijke Excel-bestand downloaden.”

Threat Analytics-rapport  
(Microsoft)

Daarnaast bevat de malware GraceWire, een info-stelende trojan, die gevoelige informatie verzamelt en deze via een command-and-control-server teruggeeft aan de daders.

Bekijk de volledige lijst met Indicators of Compromise (IOC’s), inclusief SHA-256 hashes van de malware voorbeelden die in de campagne worden gebruikt:

Microsoft Defender ATP research team

Pin It on Pinterest