Phishing via Azure AD B2B Collaboration

E-posten har invites@microsoft.com som avsender, og alle tekniske undersøkelser (både SPF, DKIM og DMARC) viser at selve meldingen faktisk er sendt fra nettopp Microsoft.

Også alle linkene i e-posten går til legitime adresser hos Microsoft. Likevel er det noe som skurrer, fordi OneDrive-logoen er ikke helt oppdatert:

Når du klikker på lenken "Kom i gang", havner du på en helt legitim landingsside for Office 365-brukere. Hvis du allerede er innlogget her, vil du først bli spurt om å godkjenne at "OneDrive for Business" får tilgang til å logge deg på, og lese navnet ditt, epost-adressen din, og bildet ditt.

Og deretter kan du ende opp på en hvilken som helst URL, under angriperens kontroll.

Fordi hver invitasjon er personlig, er det imidlertid ikke mulig å undersøke hva som skjuler seg bak en annen bruker sin invitasjon. Derfor har vi prøvd å lage en tilsvarende kampanje for å finne ut hvilke muligheter en angriper kan ha med denne teknikken.

Azure Active Directory B2B Collaboration

Tjenesten som kan misbrukes er en på mange måter svært nyttig tjeneste fra Microsoft, som lar virksomheter invitere eksterne brukere fra andre virksomheter inn til sine interne områder, men hvor den eksterne brukeren får logge inn med sin ordinære brukerkonto fra Office 365.

En angriper kan imidlertid opprette en gratis prøveperiode på Azure AD Premium, og få tilgang til de samme funksjonene. Dersom man gir Azure AD-organisasjonen sin navn etter f.eks. en kjent merkevare (som OneDrive for Business i tilfellet over), kan man også legge inn logo som preger e-post-invitasjonen som sendes ut til nye brukere.

Deretter kan man opprette en såkalt "Enterprise App" i denne organisasjonen, og deretter si at denne applikasjonen skal tilby single sign-on gjennom en bestemt URL, som da kan være ondsinnet:

Denne applikasjonen kan videre tilordnes nye brukere, og det er her man legger inn ønskede mottakerne av phishing-kampanjen. Her er det fritt fram for å angi eksterne e-postadresser:

Ved klikk "Invite"-knappen blir altså den nå ondsinnede invitasjonen sendt ut - fra Microsoft. Når mottakerne eventuelt godtar "invitasjonen", havner de på angriperens fiktive landingsside for applikasjoner. 

Herfra vil klikk på den aktuelle applikasjonen ta brukeren til angriperens egen påloggingsside, eller hvilken som helst annen ressurs som ellers er angitt for single sign-on:

Skjermbildet over tilhører for ordens skyld ikke den faktiske phishing-kampanjen vi oppdaget gjennom bruk av MailRisk hos våre kunder. Dette er derimot en landingsside som tilbys gjennom vår egen phishing-simulator, les gjerne vår kronikk på Digi.no om bruk av simulert phishing til bevisstgjøring og opplæring.

For å beskytte virksomheten mot dette konkrete angrepsscenariet, kan man samtidig vurdere å blokkere tilgangen sluttbrukere har til å godkjenne deling av data fra sin egen virksomhetsbruker mot eksterne (multi-tenant) applikasjoner:

Merk at denne innstillingen kan også komme i veien for legitime bruksscenarier for slik pålogging. Samtidig finnes denne konfigurasjonsmuligheten som gjør at man neppe kan kalles misbruk av tjenesten for et "sikkerhetshull" fra Microsoft sin side.

Oppdag nye epost-trusler med MailRisk i egen virksomhet.

Vi tilbyr en gratis og uforpliktende prøveperiode.

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →