El phishing ha estado convirtiéndose en un problema cada vez más recurrente dentro del ámbito digital, con estrategias cada vez más sofisticadas enfocadas en obtener los datos personales de los usuarios con el propósito de estafarlos.
En ese sentido, Microsoft dio a conocer recientemente la existencia de un nuevo método de phishing que está afectando a usuarios de Office 365, quienes han estado recibiendo correos electrónicos con el propósito de engañarlos para hacer que otorguen permisos OAuth a una aplicación falsa que facilite a los delincuentes cibernéticos la tarea de leer y escribir correos electrónicos.
Han sido cientos los clientes que han recibido correos electrónicos de este tipo, según lo dicho por el equipo de inteligencia de seguridad de Microsoft. En lo que respecta a su estructura, el correo electrónico malicioso contiene una aplicación llamada Upgrade que al activarse solicita al usuario habilitar los permisos OAuth. Una vez hecho esto los atacantes entran en acción creando reglas de bandeja de entrada, leyendo y escribiendo correos electrónicos, teniendo acceso también a elementos de calendario y contactos.
Al hablar de Oauth, este hace referencia a un estándar reconocido por los proveedores de identidad, así como también por la nube. Así también, OAuth es apoyada por plataformas como Google, Facebook, Twitter y por supuesto Microsoft. De esta manera los usuarios pueden tener la posibilidad de permitir o no que aplicaciones de terceros tengan acceso a la información presente en la cuenta que posean dentro de una app o servicio de alguna de estas empresas.
Sin embargo, ya en el pasado el OAuth había sido usado como un medio para ejecutar estafas de phishing, haciendo que empresas como Google tuvieran que implementar requisitos de verificación más estrictos que cambiaron la dinámica drásticamente para aquellos desarrolladores que requirieran conectarse a las aplicaciones de esta empresa.
Cabe mencionar que esta nueva amenaza phishing fue descubierta por @ffforward, un usuario de Twitter dedicado a la búsqueda de amenazas en el ámbito digital quien notificó a Microsoft del hallazgo. En ese sentido, el usuario observó que la aplicación Upgrade provenía del editor verificado Yuma PC Counseling Services. Se reportó que esta aplicación se presentaba a los usuarios de Office 365 a través de una cuenta no verificada.
Es así como mediante esta aplicación los atacantes hacen uso de pantallas de solicitud de permisos OAuth para engañar a las víctimas y hacer que las mismas concedan autorización de manera que estos luego pueda obtener datos de cuentas de aplicaciones conectadas.