Hackers gebruiken een combinatie van phishing en eigen applicaties om toegang te krijgen tot Office 365-data, zonder dat ze daarvoor het wachtwoord van het slachtoffer hoeven te stelen.
Een nieuw type aanval maakt misbruik van de mogelijkheid om applicaties als add-in te linken aan Office 365. Beveiligingsbedrijf Phishlabs ontdekte hoe criminelen phishing combineren met eigen toepassingen om zich toegang te verschaffen tot Office 365-accounts.
Phishing
De aanval begint met een klassieke phishing-mail waarin een hacker zich voordoet als een betrouwbare bron. In de mail zit een link naar wat zogezegd een SharePoint of OneDrive-bestand of map is. Wie erop klikt, wordt omgeleid naar de officiële Office 365-loginpagina van Microsoft, tenzij hij of zij al ingelogd is. Vanaf dan gaat het mis: na het inloggen wordt het slachtoffer gevraagd om een app genaamd 0365 Access toegang te geven. Wie erin trapt, geeft de applicatie toegang tot de hele Office 365-omgeving, inclusief de eigen mailbox, contacten en bestanden.
De 0365 Access-app is zoals je al kon vermoeden een malafide applicatie gebouwd door de hackers. De app misbruikt de legitieme inlogprocedure van Microsoft om toegang te krijgen. Microsoft laat apps van derden immers toe om met Office 365 te communiceren als add-in, ook als die toepassingen niet via de Office Store zijn gedownload. Doordat Microsoft het ‘sideloaden’ van apps toelaat, kunnen hackers zich toegang verschaffen.
Vergelijk het een beetje met het sideloaden van een app op je Android-telefoon. Wat je uit de Play Store van Google downloadt, is in de regel veilig. Haal je een app binnen via een link, dan is er geen controle meer over de inhoud ervan. Het verschil is dat sideloaden standaard staat uitgeschakeld op je telefoon, en je de optie bewust moet inschakelen voor je er gebruik van kan maken.
Tegenmaatregelen
Gelukkig kunnen administrators het linken van apps die niet via de officiële weg zijn binnengekomen blokkeren. Verder is het noodzakelijk dat werknemers eerst in de phishing-mail trappen voordat de aanval kan werken. De nodige training om dergelijke mails te herkennen, kan helpen om het probleem te voorkomen nog voor het zich stelt.
Google werd in 2017 al het slachtoffer van gelijkaardig misbruik via Google Docs. Ook hier werd phishing gebruikt om op een malafide manier via het officiële loginmechanisme toegang te krijgen tot de Google-suite. De slachtoffers kregen een link naar wat zogezegd een document was, maar moesten eerst toegang geven aan een app die ‘Google Docs’ heette maar eigenlijk van hackers afkomstig was.