เมื่อเร็ว ๆ นี้ มี Consent phishing หรือการทำฟิชชิ่งในรูปแบบที่ใช้การยอมรับข้อตกลงเป็นเครื่องมือในการโจมตี ผ่านทาง application-based ซึ่งล่าสุด Microsoft เตือนว่าพบการโจมตีในลักษณะนี้เพื่อขโมยข้อมูลบน แอปพลิเคชัน Office 365 OAuth หากเหยื่อกดยอมรับข้อตกลงจะเป็นการให้สิทธิการเข้าถึง Microsoft accounts และนั่นจะส่งผลให้แฮกเกอร์สามารถเชื่อมต่อกับ API เพื่อควบคุมบัญชีผู้ใช้ เช่น แอปพลิเคชัน อีเมล ไฟล์ต่าง ๆ แม้กระทั่งรายชื่อผู้ติดต่อ ฯลฯ โดย Microsoft ได้ให้ข้อมูล 6 domain ที่เป็นอันตรายได้แก่ officeinvetorys[.]com, officehnoc[.]com, officesuited[.]com, officemtr[.]com, officesuitesoft[.]com และ mailitdaemon[.]com

ภาพ: ตัวอย่าง E-mail phishing จาก www.bleepingcomputer.com

สำหรับการป้องกันการโจมตี องค์กรควรให้ความรู้แก่พนักงานเกี่ยวกับรูปแบบ และวิธีการทำ Consent phishing เพื่อให้พนักงานรู้เท่าทัน ซึ่งนอกจากนี้ Microsoft ได้แนะนำ 3 วิธีปฏิบัติที่ใช้เพื่อป้องกันการโจมตีไว้ ดังนี้

1. ผู้ใช้งานควรมีความเข้าใจเกี่ยวกับข้อมูล และการเข้าถึงแอปพลิเคชัน ว่าเป็นสิ่งจำเป็น ในส่วนของผู้ดูแลระบบต้องเข้าใจว่า permission และ consent ทำงานอย่างไรบน platform ของเรา
2. ผู้ดูแลระบบต้องรู้ขั้นตอนการบริหารจัดการ และการประเมินคำร้องขอต่าง ๆ ที่เกี่ยวข้องกับการยอมรับข้อตกลง
3. ควรมีการตรวจสอบ แอป ฯ และสิทธิในการเข้าถึงข้อมูล จากการยอมรับข้อตกลงภายในองค์กร เพื่อให้มั่นใจว่าข้อมูลเหล่านั้น มีแค่ผู้ที่ได้อนุญาตเท่านั้นที่จะสามารถเข้าถึงได้

เพื่อให้การใช้งาน Office 365 เป็นไปอย่างปลอดภัย Microsoft แนะนำให้ผู้ใช้งานตรวจสอบข้อมูลการยอมรับข้อตกลงโดยจากทาง Microsoft โดยตรงหลังจาก Login เข้าระบบแล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-warns-of-office-365-phishing-via-malicious-oauth-apps/