Злоумышленники злоупотребляют обычными перенаправлениями ошибок OAuth, чтобы перенаправлять пользователей с легитимного URL-адреса входа в систему Microsoft или Google на фишинговые или вредоносные страницы, не завершая успешный вход в систему и не похищая токены из самого потока OAuth.
Это требует более подробного объяснения.
OAuth (Open Authorization) — это протокол открытого стандарта для делегированной авторизации. Он позволяет пользователям предоставлять веб-сайтам или приложениям доступ к своим данным в другом сервисе (например, Google или Facebook) без раскрытия своего пароля.
Перенаправление OAuth — это процесс, при котором сервер авторизации после аутентификации пользователя отправляет браузер пользователя обратно в приложение (клиент) с кодом авторизации или токеном.
Исследователи обнаружили, что фишеры используют скрытые потоки аутентификации OAuth и намеренно недействительные области действия, чтобы перенаправлять жертв на инфраструктуру, контролируемую злоумышленниками, без кражи токенов.
Итак, как эта атака выглядит с точки зрения жертвы?
С точки зрения пользователя цепочка атак выглядит примерно так:
Электронное письмо
Вы получаете электронное письмо с правдоподобным деловым предложением. Например, вы получаете электронное письмо о чем-то рутинном, но срочном: обмене или просмотре документов, уведомлении о социальном обеспечении или финансовом уведомлении, отчете отдела кадров или сотрудника, приглашении Teams или смене пароля.
Тело электронного письма содержит ссылку, например «Просмотреть документ» или «Просмотреть отчет», либо вложение в формате PDF, которое содержит ссылку.
Ссылка
Вы нажимаете на ссылку, увидев, что она выглядит как обычный логин Microsoft или Google. Видимый URL (то, что вы видите, когда наводите на него курсор) выглядит убедительно, начинается с надежного домена, такого как https://login.microsoftonline.com/ или https://accounts.google.com/.
Нет явных признаков того, что параметры (prompt=none, нечетный или пустой объем, закодированное состояние) являются ненормальными.
Бесшумный OAuth
Сфабрикованный URL пытается выполнить скрытую авторизацию OAuth (prompt=none) и использует параметры, которые гарантированно приведут к сбою (например, недействительная или отсутствующая область действия).
Поставщик идентификации оценивает вашу сессию и условный доступ, определяет, что запрос не может быть выполнен без уведомления, и возвращает ошибку OAuth, такую как interaction_required, access_denied или consent_required.
Перенаправление
По замыслу, сервер OAuth затем перенаправляет ваш браузер, включая параметры ошибки и состояние, на зарегистрированный URI перенаправления приложения, который в этих случаях является доменом злоумышленника.
Для пользователя это всего лишь быстрая вспышка URL-адреса Microsoft или Google, за которой следует другая страница. Маловероятно, что кто-то заметит ошибки в строке запроса.
Целевая страница
Цель перенаправляется на страницу, которая выглядит как законный сайт для входа в систему или бизнес-сайт. Это вполне может быть клоном сайта надежного бренда.
Отсюда возможны два варианта злонамеренных действий:
Вариант фишинга / атаки «посредник» (AitM)
Обычная страница входа в систему или запрос на подтверждение, иногда с CAPTCHA или промежуточными страницами, чтобы выглядеть более надежным и обойти некоторые меры контроля.
Адрес электронной почты может быть уже заполнен, поскольку злоумышленники передали его через параметр state.
Когда пользователь вводит учетные данные и проходит многофакторную аутентификацию (MFA), инструментарий «атакующего посредника» перехватывает их, включая сессионные куки, и передает дальше, чтобы процесс выглядел легитимным.
Вариант доставки вредоносного ПО
Сразу же (или после короткой промежуточной страницы) браузер переходит по пути загрузки и автоматически загружает файл.
Контекст страницы соответствует приманке («Скачать безопасный документ», «Ресурсы для встречи» и т. д.), поэтому открытие файла кажется разумным.
Цель может заметить открытие исходного файла или некоторое замедление работы системы, но в остальном компрометация практически незаметна.
Потенциальное воздействие
Собрав учетные данные или установив бэкдор, злоумышленник получает доступ к системе. Оттуда он может выполнять действия с клавиатуры, перемещаться по сети, красть данные или запускать программы-вымогатели в зависимости от своих целей.
Полученные учетные данные и токены могут быть использованы для доступа к электронной почте, облачным приложениям или другим ресурсам без необходимости хранения вредоносного ПО на устройстве.
Как оставаться в безопасности
Поскольку злоумышленнику не нужен ваш токен из этого потока (только перенаправление в свою инфраструктуру), сам запрос OAuth может выглядеть менее подозрительным. Будьте бдительны и следуйте нашим советам:
- Если вы полагаетесь на наведение курсора на ссылки, будьте особенно осторожны, когда видите очень длинные URL-адреса с oauth2, authorize и большим количеством закодированного текста, особенно если они приходят извне вашей организации.
- Даже если начало URL-адреса выглядит законным, перед тем как перейти по ссылке, проверьте ее у надежного отправителя.
- Если по электронной почте пришло срочное сообщение, которое сразу же заставляет вас пройти странную процедуру входа в систему или запускает неожиданную загрузку, считайте его вредоносным, пока не будет доказано обратное.
- Если вы перенаправлены на незнакомый сайт, остановитесь и закройте вкладку.
- Будьте очень осторожны с файлами, которые загружаются сразу после нажатия на ссылку в электронном письме, особенно от
/download/пути. - Если сайт требует «запустить» или «включить» что-либо для просмотра защищенного документа, закройте его и дважды проверьте, на каком сайте вы сейчас находитесь. Возможно, это подделка.
- Обновляйте операционную систему, браузер и любимые инструменты безопасности. Они могут автоматически блокировать многие известные фишинговые наборы и загрузку вредоносных программ.
Совет от профессионала: используйте Malwarebytes Guard, чтобы определить, является ли полученное вами электронное письмо мошенничеством.
Мы не просто сообщаем о мошенничестве - мы помогаем его обнаружить.
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Если что-то кажется вам подозрительным, проверьте, не является ли это мошенничеством, с помощью Malwarebytes Guard. Отправьте скриншот, вставьте подозрительный контент или поделитесь ссылкой, текстом или номером телефона, и мы сообщим вам, является ли это мошенничеством или законным. Доступно с Malwarebytes Premium для всех ваших устройств, а также в Malwarebytes для iOS Android.
