Microsoft призывает не доверять ссылкам от Microsoft. Звучит как шутка, но госслужбам сейчас не смешно
NewsMakerПочему «замочек» в адресной строке больше ничего не гарантирует.
Письмо с просьбой «подписать документ» или «подтвердить учетную запись» может вести не на поддельный сайт, а на вполне настоящий адрес Microsoft или Google. Именно на этом доверии и сыграли злоумышленники, которые научились использовать механизм перенаправления в протоколе OAuth для фишинга и доставки вредоносных программ.
Специалисты Microsoft зафиксировали кампании против государственных структур и организаций общественного сектора. Атаки строились вокруг штатной функции OAuth, которая позволяет службе аутентификации перенаправлять пользователя на указанный адрес при определенных условиях, например при ошибке входа. Злоумышленники не взламывали учетные записи и не похищали токены доступа. Вместо этого использовали поведение протокола по правилам, но в своих интересах.
Схема начиналась с создания вредоносного приложения в инфраструктуре злоумышленника. В настройках указывали адрес перенаправления на подконтрольный домен, где размещали фишинговую страницу или файл с вредоносной нагрузкой. Затем жертве отправляли письмо со ссылкой, которая выглядела как обычный запрос на вход через систему аутентификации, например через Microsoft Entra ID или учетные записи Google.
В ссылку намеренно добавляли некорректные параметры, например несуществующую область доступа и режим «без отображения интерфейса». Такая комбинация гарантированно вызывала ошибку входа. По правилам OAuth служба аутентификации в этом случае перенаправляет браузер на заранее указанный адрес вместе с описанием ошибки. В результате пользователь сначала видел легитимный домен Microsoft или Google, а затем автоматически попадал на сайт злоумышленника.
Письмо с просьбой «подписать документ» или «подтвердить учетную запись» может вести не на поддельный сайт, а на вполне настоящий адрес Microsoft или Google. Именно на этом доверии и сыграли злоумышленники, которые научились использовать механизм перенаправления в протоколе OAuth для фишинга и доставки вредоносных программ.
Специалисты Microsoft зафиксировали кампании против государственных структур и организаций общественного сектора. Атаки строились вокруг штатной функции OAuth, которая позволяет службе аутентификации перенаправлять пользователя на указанный адрес при определенных условиях, например при ошибке входа. Злоумышленники не взламывали учетные записи и не похищали токены доступа. Вместо этого использовали поведение протокола по правилам, но в своих интересах.
Схема начиналась с создания вредоносного приложения в инфраструктуре злоумышленника. В настройках указывали адрес перенаправления на подконтрольный домен, где размещали фишинговую страницу или файл с вредоносной нагрузкой. Затем жертве отправляли письмо со ссылкой, которая выглядела как обычный запрос на вход через систему аутентификации, например через Microsoft Entra ID или учетные записи Google.
В ссылку намеренно добавляли некорректные параметры, например несуществующую область доступа и режим «без отображения интерфейса». Такая комбинация гарантированно вызывала ошибку входа. По правилам OAuth служба аутентификации в этом случае перенаправляет браузер на заранее указанный адрес вместе с описанием ошибки. В результате пользователь сначала видел легитимный домен Microsoft или Google, а затем автоматически попадал на сайт злоумышленника.