Snillrik nätfiskeattack mot Office 365-användare

2017 rapporterade vi om en nytänkande nätfiskeattack mot Google Drive-användare. Angripare skickade ut inbjudningslänkar som påstod att de ville dela Google Docs-dokument med mottagarna.  Till skillnad från klassiska nätfiskeattacker, som leder in offren på falska webbplatser, ledde angriparna in offren på Googles riktiga webbplats. Där kapades offrens konton via en skadlig tredjepartsapp.

Attackmetoden

Oauth är auktoriseringsmetoden som används av de stora IT-jättarna, däribland Google, Microsoft och Facebook. Via Oauth kan användare bland annat ge tredjepartsappar tillgång till sina kontaktlistor på Google och bilder på Facebook (mer information om Oauth finns i Bli säker-boken).

Genom att publicera en falsk Oauth-app vid namn ”Google Docs” kunde de snillrika angriparna lura åt sig åtkomst till ovetande offers Google-konton. Google gick snabbt ut med en varning och plockade bort den skadliga Google Docs-appen. Läs mer om detta i artikeln från 2017.

Microsoft Office 365 i skottgluggen

Nu har angripare använt samma metod för att attackera Microsoft Office 365-användare. Förra veckan rapporterade Phishlabs om nätfiskemejl med länkar som bjöd in till delade kalkylblad. Precis som i Google-fallet ledde länkarna till den rätta domänen och till den äkta inloggningsrutan. Där lurade angriparna till sig kontoåtkomsten genom en åtkomstförfrågan från en fejkad app vid namn 0365 Access. Mer information om denna specifika attack finns på Phishlabs webbplats. Där finns också en bild på hur den fejkade åtkomstförfrågan såg ut.

Rekommendationer

Den här attacktypen är svårare att avslöja än traditionella nätfiskeattacker som leder in offren på falska domäner. Av den anledningen rekommenderar vi att aldrig klicka på inbjudningslänkar som kommer via mejl. Detta gäller även om mejlets avsändare är någon i den interna organisationen. Oauth-attacker ger angriparna tillgång till offrens kontaktlistor och e-post, vilket gör att de kan sprida attacken via kapade kollegors konton.

Lyckligtvis behövs sällan e-postbaserade inbjudningar. Ifall vår påhittade kollega Bob vill bjuda in Alice för samarbete kring ett dokument kan han skicka en inbjudan direkt från Word. Om Alice har Onedrive-klienten på sin dator får hon då en notis direkt på skrivbordet. Alice och Bob kan också samla alla dokument som de samarbetar kring i sin Teams-kanals gemensamma Onedrive-mapp.

Notis från Onedrive-appen på Windows 10
Alice får en inbjudan från Bob via Onedrive-appen.

Ifall Alice vill lista nya dokument som delas med henne kan hon öppna Office-appen i Windows eller gå till office.com i webbläsaren och välja Delas med mig. På så sätt behöver hon aldrig klicka på inbjudningslänkar i mejl. Om någon har delat något nytt med henne så visas det i listan.

Delade dokument på office.com
Office.com visar nya dokument som delas med Alice.

Kontrollera apprättigheter

Med anledning av attacken är det en god idé att se över vilka appar som har åtkomst till våra Office 365-konton. Det gör vi genom att gå till office.com, klicka på vår profilbild, välja Mitt konto och klicka på Appbehörigheter. Där kan vi se vilka appar som har fått en eller flera behörigheter. Ifall vi har slutat använda någon app bör vi radera dess behörigheter. Samma sak gäller ifall vi inte känner igen någon av apparna som har åtkomst.

Apprättigheter på office.com.
Office.com visar vilka appar som har åtkomst till Alices konto.

Varning! Ifall angripare får tillgång till ett Office 365-konto via Oauth hjälper det inte att byta lösenord. Apprättigheterna som berättigas via Oauth kvarstår även efter lösenordsbyte.