Raz pracuję w domu (praca zdalna) stał się dla wielu niezbędny firmy, do banku I instytucje, zmieniła się także strategia atakujących komputer.
Microsoft ostrzega, że ​​pojawia się ich coraz więcej złośliwe aplikacje na czym polegają konta Office 365 i w jaki sposób Bezpieczeństwo tokena OAuth zostaje anulowana, jeżeli użytkownik zaakceptować dostęp takich aplikacji do konta Office 365.
To jest metoda phishingu “moda” w tym okresie, na czym się opiera nieostrożność i niewiedza użytkowników.
Wiadomość wysyłana jest za pośrednictwem poczty elektronicznej zawiera link do aplikacji “ciekawy”, co na pierwszy rzut oka nie budzi podejrzeń. Co więcej, może to być rekomendacja instalacyjna wydana przez firmę lub bank, w którym użytkownik jest zatrudniony.
Jeśli jednak użytkownik wpadnie w pułapkę i udzieli aplikacji dostępu do Microsoft Office 365, w przyszłości aplikacja ta nie będzie już blokowana przez OAuth. Mogą ukrywać się za aplikacjami API za pośrednictwem którego można kierować liczne zapytania do konta Office 365. Konto, z którego atakujący mogą uzyskać poufne informacje i wydobyć wrażliwe dane za pomocą aplikacji, bez zauważenia tego przez użytkownika.

Wszystko działa na tym samym systemie, dla którego w przeszłości aplikacje Google Play “flesz” poprosili o dostęp, w tym do listy kontaktów. Po uzyskaniu zgody użytkownika aplikacja mogła przesyłać poufne dane w tle do osób trzecich o złych intencjach.
A ci z Facebooka borykali się z takimi problemami w przeszłości, gdy aplikacje innych firm miały dostęp do większej ilości danych, niż potrzebowały. Dane te, jak się okazało, zostały sprzedane różnym agencjom komunikacyjnym.

Jeśli chodzi o użytkowników Microsoft Office 365, którzy obecnie pracują z domu, warto wiedzieć, że każdy otrzymany e-mail z zaproszeniem do zainstalowania aplikacji dla Office 364 musi zostać wcześniej sprawdzony przez dział IT. Dopiero po akceptacji tego działu aplikacja może uzyskać dostęp do Twojego konta Office 365.

Najlepszą ochroną przed phishingiem jest zawsze ostrożność użytkownika. Linki i aplikacje otrzymane e-mailem, otwarte lub zainstalowane bez weryfikacji, mogą spowodować duże straty danych i zagrozić niektórym karierom.