OAuth-Phishing im Aufwind

Originalbeitrag von Mark Nunnikhoven, Vice President Cloud Research

Kürzlich gab es eine breit angelegte neue Phishing-Kampagne, bei der es um das Sammeln von Zugangsinformationen für Google-Konten (vor allem Mail und Kontakte) ging. Dieser Phishing-Angriff ist ein perfides Beispiel eines ausgeklügelten Versuchs, sich mithilfe des OAuth Service Zugang zu einer Vielzahl von Nutzerkonten zu erschleichen. Dabei erhält das Opfer eine Mail mit einem echt aussehenden “Open in Docs”-Button. Der Button ist ein legitimer Link auf Googles OAuth Service. Der Angreifer hatte eine bösartige Anwendung aufgesetzt, die darauf ausgerichtet war, Zugriffs-Tokens zu Nutzerkonten zu sammeln und den Phishing-Angriff auf alle Kontakte des Opfers auszuweiten.

Diese Technik ist sehr clever, denn es gibt keine bösartige Payload in der Mail. Die URL kann nicht geblockt werden, weil es sich um eine legitime Domäne handelt, die Google gehört und auch von Google kontrolliert wird. Der Schutz vor einem solchen Angriff liegt allein in der Hand des Nutzers.

Anders als bei typischen Phishing-Angriffen, wo es darum geht, das System eines Nutzers zu kompromittieren, soll hier dessen Google-Konto infiziert werden. Diese Technik nutzte auch bereits die Pawn Storm-Gruppe, wobei sie eine bösartige „Google Defender”-Applikation aufsetzten, die vorgab, die Konten der Opfer zu schützen … um dann genau das Gegenteil zu tun! Die beiden Angriffe haben nichts miteinander zu tun, doch setzte auch die Pawn Storm-Attacke auf dieselbe legitime OAuth-Verbindung, um die Unwissenheit der Nutzer bezüglich der vorhandenen Services auszunutzen. Es ist sehr schwierig, diese Angriffe zu erkennen oder zu verhindern.

Verbundene Konten können riskant sein

Diese letzte Kampagne lief unter dem Deckmantel „Google Docs.” Die meisten Nutzer wissen nicht, dass die tatsächlichen Google Docs und Google Drive keinen OAuth-Zugriff auf ihr Google-Konto benötigen. Als integrierter Service nutzen sie einen anderen Autorisierungsmechanismus (üblicherweise Dokument für Dokument oder Verzeichnis nach Verzeichnis), um einen Zugriff anzufordern. Einzelheiten zum Thema gibt es hier.

Mittlerweile hat Google die Anwendung geblockt, sodass keine neuen Verbindungen aufgesetzt werden können und auch vorhandene sollten bereits entfernt worden sein. Dennoch sollten Nutzer dies unter https://profiles.google.com/connectedaccounts prüfen. Auch sind Drittanbieter-Verbindungen ein häufig anzutreffender Angriffsvektor, der sich einfach vermeiden lässt, wenn die Verbindungen regelmäßig geprüft werden (dies trifft auch auf Facebook-, Twitter- und LinkedIn-Konten zu).

Schulung der Nutzer ist wichtig

Da dieser Angriff nicht der erste und nicht der letzte sein wird, der versucht, sich OAuth zunutze zu machen, ist es wichtig, das Thema in die Schulung der Mitarbeiter mit aufzunehmen, sind die Nutzer doch die einzigen, die einen solchen Angriff verhindern können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*