フィッシング攻撃は変異しました。もはやパスワードを盗んだり、MFAを回避したりする必要はありません。サイバー犯罪者はOAuthプロトコルを悪用し、悪意のあるアプリケーションを承認するようあなたを騙します。そうすることで、知らないうちにデータへのアクセスを譲渡することになり、同意プロセスが従来の認証の外側にあるため、MFAは作動しません。foro3d.comでは、この静かな脅威がどのように機能するかを説明します。
OAuth攻撃の背後にある技術的メカニズム 🛡️
攻撃は、GoogleやMicrosoftなどの正規サービスのように見えるリンクから始まります。クリックすると、被害者はOAuthの同意画面にリダイレクトされ、メール、連絡先、ファイルへのアクセス許可が求められます。信頼したユーザーはこれを受け入れます。攻撃者は、資格情報を必要とせずにサービスのAPIとやり取りできるアクセストークンを取得します。ログインを保護するために設計されたMFAは、トークンがすでに付与されているため、ここでは介入しません。防御は、要求された各権限を確認することに依存します。
同意:セキュリティの新たな回転扉 🚪
何年もMFAを設定し、複雑なパスワードを使用してきた後でも、脆弱な部分は、光るものすべてをクリックしたいという私たちの熱意にあることが判明しました。今では、鍵を盗む代わりに、きれいなフォームで許可を求められ、あなたは寛大なホストのように、両手を広げてドアを開けます。結局、丁寧に鍵を頼めるなら、盗む必要はありません。皮肉なことに、MFAは今日は仕事がないと言われたドアマンのように、とても静かにそのままになっています。