Barracuda signaleert nieuwe phishingcampagnes die misbruik maken van Microsoft OAuth en Google-apps om beveiligingscontroles te omzeilen.
Beveiligingsonderzoekers van Barracuda hebben een reeks phishing-aanvallen in kaart gebracht waarbij misbruik wordt gemaakt van Microsoft OAuth. Deze technologie laat gebruikers toe om in te loggen bij applicaties zoals Microsoft 365 zonder hun wachtwoord te delen. Criminelen misbruiken deze toegangslaag om OAuth-tokens te stelen, gebruikers te imiteren of met vervalste apps toegang te krijgen tot gevoelige data.
lees ook
Barracuda onthult nieuwe technieken om phishinglinks in e-mails te verbergen
Gebruikers worden eerst omgeleid naar nagemaakte inlogpagina’s. Eenmaal ze toestemming geven aan een malafide app, krijgt een aanvaller toegang tot hun e-mail, bestanden, agenda’s of Teams-chats. In sommige gevallen wordt zelfs multi-factor authenticatie omzeild via een aangepaste OAuth-link. Dat laat toe om zonder verdere interactie toegang te krijgen tot een ingelogde sessie.
Aanvallers registreren hun eigen applicaties binnen een Entra ID-tenant, vermommen die als legitieme apps, en vragen meteen brede machtigingen. Eens een gebruiker toestemming geeft, zijn geen wachtwoorden meer nodig. De aanvallen zijn geautomatiseerd, gericht en moeilijk te detecteren.
Google als legitieme springplank
Naast OAuth-aanvallen zien onderzoekers ook toenemend misbruik van serverless platformen en productiviteitstools. De code wordt rechtstreeks uitgevoerd op een publiek toegankelijke URL, zonder complexe set-up. De e-mails verwijzen naar nagemaakte webpagina’s, zogezegd waarin gebruikers gevraagd wordt hun wachtwoord te behouden.
Ook diensten zoals Google Translate en Google Meet worden uitgebuit. Door URL’s te coderen als subdomeinen van ‘translate.goog’, slagen aanvallers erin om gebruikers te misleiden. Via Google Meet worden massaal spamuitnodigingen verstuurd met nepaanbiedingen, waarbij het slachtoffer wordt verleid om contact op te nemen via WhatsApp.
lees ook
‘De tijd van zielige phishingaanvallen is voorbij’
Barracuda raadt organisaties aan om OAuth-verzoeken te beperken tot vertrouwde redirect-links, brede machtigingen te vermijden, tokens snel te laten vervallen en verdachte applicaties actief te loggen. Gebruikers alert maken op de risico’s van OAuth-implementaties is even essentieel.
De opkomst van geautomatiseerde phishingkits en het misbruik van legitieme clouddiensten tonen aan hoe flexibel en aanpasbaar phishingaanvallen zijn geworden. Organisaties moeten hun beveiligingsstrategieën blijven aanpassen om deze steeds verfijndere aanvallen te kunnen afweren, concludeert Barracuda.