Beveiligingsbedrijf Phishlabs heeft ontdekt dat hackers een combinatie van phising en eigen apps gebruiken om gegevens te stelen van Office 365 gebruikers, zonder dat ze daarvoor het wachtwoord van het slachtoffer hoeven te achterhalen.

Dit nieuw type aanval maakt misbruik van een mogelijkheid om applicaties als add-in toe te voegen aan Office 365. Door eigen applicaties te koppelen aan phishing methods kunnen criminelen toegang krijgen tot de accounts van nietsvermoedende slachtoffers.

De aanval begint met een phishing-mail waarin de hacker zich voordoet als een contactpersoon of een betrouwbare bron. De mail bevat een link naar een SharePoint of One-Drive bestand of map. Wanneer hierop wordt geklikt wordt de gebruiker naar de officiële Office 365-loginpagina gestuurd. Na het inloggen komt er een scherm tevoorschijn, waarin wordt gevraagd om de 0365 Access app toegang te geven. Een onoplettende gebruiker kan hierin trappen en het gehele account, inclusief mailbox, contacten en bestanden zijn dan vrij spel voor de hacker.

De 0365 app is een malafide app die de legitieme inlogprocedure van Microsoft misbruikt om toegang te krijgen. Gelukkig kunnen administrators van een netwerk het linken van apps die niet zijn binnengekomen via de officiële weg blokkeren. Wanneer werknemers ook trainingen volgens om phishing-mails te herkennen kan een aanval relatief simpel worden afgeslagen. Echter is het altijd zaak om alert te blijven op dit soort zaken.