Je Gelooft Nooit Wat Deze Apps Nu Doen!

Cybercriminelen misbruiken Microsoft OAuth-apps om bedrijfsgegevens te stelen

Organisaties die Microsoft 365 gebruiken, worden geconfronteerd met een geavanceerde cyberdreigingsstrategie waarbij criminelen zich vermommen als legitieme Adobe en DocuSign-applicaties. Deze geavanceerde aanvalsmethode maakt gebruik van OAuth-applicaties om ongemerkt binnen te dringen in bedrijfsnetwerken en vertrouwelijke gegevens te verzamelen. De methode is bijzonder verraderlijk omdat deze gebruikmaakt van de bestaande vertrouwensstructuur binnen cloudgebaseerde applicaties, waardoor traditionele beveiligingsmaatregelen kunnen worden omzeild. Criminelen creëren nauwkeurig nagemaakte apps die exact lijken op vertrouwde zakelijke tools, waardoor medewerkers worden verleid om toestemming te geven voor applicatietoegang. Zodra een werknemer per ongeluk toestemming verleent, krijgen de kwaadwillenden vergaande rechten binnen het Microsoft 365-ecosysteem, inclusief mogelijkheden om e-mails in te zien, documenten te kopiëren en zelfs inloggegevens te verzamelen.

De technische werking van deze aanvallen is gebaseerd op geraffineerde social engineering-technieken gecombineerd met geavanceerde applicatiemanipulatie. Cybercriminelen bouwen OAuth-apps die vrijwel identiek zijn aan bekende zakelijke applicaties, met nauwelijks waarneembare afwijkingen in naam of uiterlijk. Wanneer medewerkers worden gevraagd om toestemming te verlenen, lijken deze verzoeken volstrekt legitiem en worden ze vaak zonder argwaan geaccepteerd. Na binnenkomst kunnen deze malafide apps zich verspreiden, systeemrechten uitbreiden en gevoelige bedrijfsinformatie verzamelen. De apps maken gebruik van geautoriseerde API-toegang om gegevens te exporteren, zonder dat traditionele beveiligingsoplossingen zoals firewalls of antivirusprogramma’s deze activiteiten kunnen herkennen als kwaadaardig.