피싱 공격이 진화했습니다. 이제는 비밀번호를 훔치거나 MFA를 우회할 필요가 없습니다. 사이버 범죄자들은 OAuth 프로토콜을 악용하여 사용자를 속여 악성 애플리케이션을 승인하도록 유도합니다. 이렇게 하면 사용자는 모르는 사이에 데이터에 대한 접근 권한을 넘겨주게 되며, 동의 과정이 기존 인증 절차 밖에 있기 때문에 MFA가 활성화되지 않습니다. foro3d.com에서 이 조용한 위협이 어떻게 작동하는지 설명합니다.
OAuth 공격 뒤에 숨은 기술적 메커니즘 🛡️
공격은 Google이나 Microsoft와 같은 합법적인 서비스인 것처럼 가장하는 링크로 시작됩니다. 클릭하면 피해자는 OAuth 동의 화면으로 리디렉션되어 이메일, 연락처 또는 파일에 대한 접근 권한을 요청받습니다. 사용자는 신뢰하며 수락합니다. 공격자는 자격 증명 없이 서비스의 API와 상호 작용할 수 있는 액세스 토큰을 받습니다. 로그인을 보호하도록 설계된 MFA는 토큰이 이미 부여되었기 때문에 여기서 개입하지 않습니다. 방어는 요청된 각 권한을 검토하는 데 달려 있습니다.
동의: 보안의 새로운 회전문 🚪
수년간 MFA를 설정하고 복잡한 비밀번호를 사용한 후에도 약한 고리는 여전히 반짝이는 모든 것을 클릭하려는 우리의 열정이라는 것이 밝혀졌습니다. 이제는 비밀번호를 훔치는 대신 예쁜 양식으로 허락을 구하고, 당신은 마치 후한 주인처럼 문을 활짝 열어줍니다. 어차피 정중하게 열쇠를 요청할 수 있다면 왜 훔치겠습니까? 아이러니한 점은 MFA가 오늘은 일하지 말라는 말을 들은 문지기처럼 아무 일 없이 조용히 있다는 것입니다.