Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen verbessern.
Allerdings begründen diese Apps auch einen neuen Bedrohungsvektor, da Cyberkriminelle verstärkt gefährliche OAuth 2.0-Anwendungen (bzw. Cloud-Malware) einsetzen, um Daten zu stehlen und auf sensible Informationen zuzugreifen. Allein im Jahr 2020 entdeckte der US-amerikanische Cybersicherheits-Experte Proofpoint mehr als 180 dieser gefährlichen Anwendungen. Über 55 Prozent der Kunden des Unternehmens waren davon betroffen und die Erfolgsquote der Angriffe lag bei 22 Prozent – ein äußerst bedenklicher Wert in Zeiten wachsender Cyberrisiken.
Im Zuge seiner Untersuchungen konnte Proofpoint eine Vielzahl von Attacken mittels OAuth-Token-Phishing bzw. dem Missbrauch von OAuth-Apps beobachten. Diese Form von Cyberattacke ist für Angreifer geradezu ideal, um sich Zugang zu einem Unternehmen zu verschaffen, Angriffe auf Mitarbeiter zu initiieren und Dateien sowie E-Mails von Cloud-Plattformen zu stehlen. App-Angriffe mittels OAuth zielen oft auf die Konten des höheren Managements, von Account Managern, Personalverantwortlichen und auf die Finanzabteilung ab – also auf genau die Art von Benutzern, die Zugriff auf hochsensible Daten haben. Ist ein Angriff erst einmal erfolgreich, haben die Cyberkriminellen dauerhaften Zugriff auf E-Mails, Dateien, Kontakte, Notizen, Microsoft Teams-Chats und vieles mehr. In einigen Fällen leiten sie die Benutzer auch auf eine Phishing-Seite um, nachdem diese der Nutzung der Anwendung zugestimmt haben.
Gefährliche OAuth-Apps
Im vergangenen Jahr nutzten Cyberkriminelle eine Vielzahl von Techniken für ihre OAuth-Attacken wie die Imitierung von Anwendungen (durch Homoglyphen und gefälschte Logos bzw. Domains). Es kamen zudem unterschiedliche Köder zum Einsatz, so z.B. COVID-19, eine vorgebliche Mail-Quarantäne und Office-Reviews von Kollegen. Die ausgeklügelten Angriffe stützten sich dabei zuweilen sogar auf Microsofts eigene Plattform, um Einladungen zur Zustimmungsseite für gefährliche Anwendungen zu generieren.
www.proofpoint.com/de