Une fois le travail à domicile (travail à distance) est devenu indispensable pour beaucoup entreprises, à la banque et établissements, la stratégie des attaquants informatiques a également changé.
Microsoft prévient que de plus en plus sont apparus applications malveillantes à quoi servent les comptes Office 365 et la méthode de Sécurité des jetons OAuth est annulé, si l'utilisateur accepter l'accès de ces applications au compte Office 365.
C'est un méthode de phishing “mode” dans cette période, sur quoi repose insouciance et méconnaissance des utilisateurs.
Un message est envoyé par e-mail contient un lien vers une application “intéressant”, ce qui à première vue n’éveille pas de soupçon. De plus, il peut s'agir d'une recommandation d'installation émanant de l'entreprise ou de la banque où travaille l'utilisateur.
Mais si l'utilisateur tombe dans le piège et donne à l'application l'accès à Microsoft Office 365, cette application ne sera plus bloquée par OAuth à l'avenir. Ils peuvent se cacher derrière des applications API grâce auquel de nombreuses requêtes peuvent être effectuées sur le compte Office 365. Compte à partir duquel les attaquants peuvent obtenir des informations confidentielles et extraire des données sensibles à l'aide de l'application, sans que l'utilisateur ne s'en aperçoive.

Tout fonctionne sur le même système que dans le passé les applications Google Play pour “lampe de poche” ils ont demandé l'accès, notamment à la liste de contacts. Une fois l'autorisation de l'utilisateur obtenue, l'application pourrait transmettre des données confidentielles en arrière-plan à des tiers mal intentionnés.
Et ceux de Facebook ont ​​été confrontés à de tels problèmes dans le passé, lorsque des applications tierces avaient accès à plus de données que nécessaire, données qui se sont avérées avoir été vendues à diverses agences de communication.

Concernant les utilisateurs de Microsoft Office 365 qui travaillent à domicile de nos jours, il est bon de savoir que tout email reçu vous invitant à installer une application pour Office 364 doit être vérifié au préalable par un service informatique. Ce n'est qu'après l'approbation de ce service que l'application peut accéder à votre compte Office 365.

La meilleure protection contre le phishing est toujours la prudence de l'utilisateur. Les liens et candidatures reçus par e-mail et ouverts ou installés sans être vérifiés, peuvent entraîner d'importantes pertes de données et compromettre certaines carrières.