Radar Truffe

Come riconoscere Concessione di consenso OAuth illecita — accesso silente alla casella di posta tramite app 'helper Adobe / Microsoft'?

Pubblicato il

In breve

L'attaccante registra un'app OAuth denominata 'Adobe Acrobat' / 'Outlook Helper' / 'Teams Recorder' in Entra/Google. Un'email di phishing induce l'utente ad 'autorizzare' l'app, che ottiene così gli ambiti Mail.Read, Files.Read.All,...

Come funziona

L'attaccante registra un'app OAuth denominata 'Adobe Acrobat' / 'Outlook Helper' / 'Teams Recorder' in Entra/Google. Un'email di phishing induce l'utente ad 'autorizzare' l'app, che ottiene così gli ambiti Mail.Read, Files.Read.All,...

Indicatori rossi

  • hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente
  • la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi
  • accessi insoliti da nuovi Paesi nel log di controllo
  • regole di inoltro della casella di posta che non hai creato
  • picco nel volume di chiamate all'API Graph. AZIONI: amministratori: imporre il consenso amministratore per gli ambiti di livello 3, disabilitare il consenso utente per le app non verificate; utenti: controllare regolarmente la sezione 'app connesse' su myaccount.microsoft.com / myaccount.google.com

Cosa fare

  1. 1Indicatori: 1) hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente; 2) la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi; 3) accessi insoliti da nuovi Paesi nel log di controllo; 4) regole di inoltro della casella di posta che non hai creato; 5) picco nel volume di chiamate all'API Graph.
  2. 2AZIONI: amministratori: imporre il consenso amministratore per gli ambiti di livello 3, disabilitare il consenso utente per le app non verificate; utenti: controllare regolarmente la sezione 'app connesse' su myaccount.microsoft.com / myaccount.google.com.

Fonte

Mandiant-OAuth-Abuse

Fonte verificata da Mythos Forensic Team

https://www.mandiant.com/resources/blog/

FAQ

Concessione di consenso OAuth illecita — accesso silente alla casella di posta tramite app 'helper Adobe / Microsoft' e una truffa reale?

Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.

Quali sono i primi segnali?

hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente; la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi; accessi insoliti da nuovi Paesi nel log di controllo

Cosa devo fare subito?

Indicatori: 1) hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente; 2) la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi; 3) accessi insoliti da nuovi Paesi nel log di controllo; 4) regole di inoltro della casella di posta che non hai creato; 5) picco nel volume di chiamate all'API Graph.; AZIONI: amministratori: imporre il consenso amministratore per gli ambiti di livello 3, disabilitare il consenso utente per le app non verificate; utenti: controllare regolarmente la sezione 'app connesse' su myaccount.microsoft.com / myaccount.google.com.

LegalAudit puo controllare il mio caso?

Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.