資安通報：OAuth騙取帳號權限的釣魚郵件攻擊

威脅資訊：

趨勢科技近日觀察到透過OAuth釣魚攻擊信件來騙取用戶帳號存取權限的攻擊手法有逐漸增加的趨勢。此攻擊手法藉會騙取受害者登入自身的帳號認證服務，對陌生應用程式進行授權，進一步存取受害人郵件信箱與聯絡人進行大量散布。

攻擊手法：

首先，歹徒會假借分享文件的名義，冒充受害者所認識的聯絡人並發一封郵件至受害者的信箱中。信件內含有一個連結至合法認證（如Microsoft、Google等）服務的連結按鈕。當受害者點擊該連結後會便會進行OAuth 認證，並詢問使用者是否願意開放存取權限給某支特定的應用程式。然而，一旦使用者授權給該應用程式，該程式就能存取其電子郵件信箱和通訊錄，不僅能讀取受害者信箱中的郵件，更能利用其名義發送信件。接著，該程式會讀取受害者的通訊錄，然後再用同樣的手法，發信給通訊錄中的每一個聯絡人。藉由這種複製方法，這個不肖程式短期內就能散布得非常廣。

過去曾出現過的Pawn Storm攻擊手法，即是透過OAuth認證進行社交網路攻擊並取得受害者帳號權限的知名案例：

這種詐騙郵件攻擊，使用了合法的網址與合法的登入認證系統，誘騙使用者登入自身帳戶，再使用者在合法登入之後，放低自身戒心之時，點下所跳出的「允許第三方應用程式取得您帳戶權限」的提示。

　　這項技巧非常高明，因為歹徒不需在電子郵件當中夾帶任何惡意檔案。而其中所夾帶的連結通常也都指向合法的認證服務網址(例如: login.microsoftonline.com)，因此一不小心就受騙並信任這類應用程式。 

建議：

面對這類詐騙郵件攻擊的行為，我們建議客戶可以把握以下原則，但實際設定作業，請洽詢服務供應商：

1. 建議系統管理者對用戶端於應用程式權限需求同意條件的設定進行限制。如O365可以設定使用者「只能同意」由已驗證發行者提供的應用程式，且僅限低風險權限。
2. 加強使用者的安全意識，持續對企業內用戶進行宣導，在完全了解該應用程式所要求的資料和權限是否合宜前，不要隨意點選『允許』，例如讀取你的聯絡人資訊，讀取你的信件等，請勿允許這類權限。