Partilhar via

Proteja-se contra phishing de consentimento

  • Artigo

A produtividade não está mais confinada às redes privadas e o trabalho está mudando drasticamente para os serviços em nuvem. Embora os aplicativos em nuvem permitam que os funcionários sejam produtivos remotamente, os invasores também podem usar ataques baseados em aplicativos para obter acesso a dados valiosos da organização. Você pode estar familiarizado com ataques focados em usuários, como phishing por e-mail ou comprometimento de credenciais. O phishing de consentimento é outro vetor de ameaça a ser observado.

Este artigo explora o que é phishing de consentimento, o que a Microsoft faz para proteger uma organização e quais as medidas que as organizações podem tomar para se manterem seguras.

Os ataques de phishing de consentimento enganam os utilizadores para que concedam permissões a aplicações na nuvem maliciosas. Essas aplicações maliciosas podem então obter acesso a serviços de nuvem legítimos e dados dos usuários. Ao contrário do comprometimento de credenciais, os agentes de ameaças que executam phishing de consentimento têm como alvo usuários que podem conceder acesso a seus dados pessoais ou organizacionais diretamente. A tela de consentimento exibe todas as permissões que o aplicativo recebe. Como um provedor legítimo (como a plataforma de identidade da Microsoft) hospeda o aplicativo, os usuários desavisados aceitam os termos. Essa ação concede a um aplicativo mal-intencionado as permissões solicitadas para os dados. A imagem a seguir mostra um exemplo de um aplicativo OAuth que está solicitando acesso a uma ampla variedade de permissões.

Captura de ecrã a mostrar a janela de permissões solicitadas que requer o consentimento do utilizador.

Administradores, usuários ou pesquisadores de segurança da Microsoft podem sinalizar aplicativos OAuth que parecem se comportar de forma suspeita. A Microsoft analisa um aplicativo sinalizado para determinar se ele viola os termos de serviço. Se uma violação for confirmada, o Microsoft Entra ID desativa o aplicativo e impede o uso adicional em todos os serviços da Microsoft.

Quando o Microsoft Entra ID desativa um aplicativo OAuth, as seguintes ações ocorrem:

  • O aplicativo mal-intencionado e as entidades de serviço relacionadas são colocados em um estado totalmente desativado. Quaisquer novas solicitações de token ou solicitações de tokens de atualização são negadas, mas os tokens de acesso existentes ainda são válidos até sua expiração.
  • Esses aplicativos são exibidos DisabledDueToViolationOfServicesAgreement na disabledByMicrosoftStatus propriedade nos tipos de recursos de entidade de aplicativo e serviço relacionados no Microsoft Graph. Para evitar que eles sejam instanciados em sua organização novamente no futuro, não é possível excluir esses objetos.
  • Um email é enviado a um Administrador de Função Privilegiada quando um usuário em uma organização consentiu com um aplicativo antes que ele fosse desativado. O e-mail especifica a ação tomada e as medidas recomendadas que eles podem fazer para investigar e melhorar sua postura de segurança.

Se um aplicativo desabilitado da Microsoft afetar a organização, a organização deverá executar as seguintes etapas para manter o ambiente seguro:

  1. Investigue a atividade do aplicativo desativado, incluindo:
    • As permissões delegadas ou as permissões de aplicação pedidas pela aplicação.
    • Os registos de auditoria do Microsoft Entra da atividade por parte da aplicação e a atividade de início de sessão para utilizadores autorizados a utilizar a aplicação.
  2. Rever e utilizar as orientações para a defesa contra concessões de consentimento ilícitas. As orientações incluem permissões de auditoria e consentimento para aplicativos desativados e suspeitos encontrados durante a revisão.
  3. Implemente as práticas recomendadas para proteção contra phishing de consentimento, descritas na seção a seguir.

Os administradores devem controlar o uso do aplicativo, fornecendo os insights e os recursos certos para controlar como os aplicativos são permitidos e usados nas organizações. Embora os atacantes nunca descansem, existem medidas que as organizações podem tomar para melhorar a postura de segurança. Algumas práticas recomendadas a serem seguidas incluem:

  • Informe sua organização sobre como nossa estrutura de permissões e consentimento funciona:
    • Entenda os dados e as permissões que um aplicativo está solicitando e entenda como as permissões e o consentimento funcionam dentro da plataforma.
    • Certifique-se de que os administradores sabem como gerir e avaliar os pedidos de consentimento.
    • Audite rotineiramente aplicativos e permissões consentidas na organização para garantir que os aplicativos estejam acessando apenas os dados de que precisam e estejam aderindo aos princípios de menor privilégio.
  • Saiba como detetar e bloquear táticas de phishing de consentimento comum:
    • Verifique se há erros ortográficos e gramaticais. Se uma mensagem de e-mail ou a tela de consentimento do aplicativo tiver erros ortográficos e gramaticais, é provável que seja um aplicativo suspeito. Nesse caso, denuncie-o diretamente no prompt de consentimento com o link Denuncie aqui e a Microsoft investigará se é um aplicativo mal-intencionado e o desativará, se confirmado.
    • Não confie em nomes de aplicativos e URLs de domínio como fonte de autenticidade. Os atacantes gostam de falsificar nomes de aplicativos e domínios que fazem parecer que vêm de um serviço ou empresa legítima para gerar consentimento para um aplicativo mal-intencionado. Em vez disso, valide a origem da URL do domínio e use aplicativos de editores verificados quando possível.
    • Bloqueie emails de phishing de consentimento com o Microsoft Defender para Office 365 protegendo contra campanhas de phishing em que um invasor está se passando por um usuário conhecido na organização.
    • Configure as políticas do Microsoft Defender for Cloud Apps para ajudar a gerenciar atividades anormais de aplicativos na organização. Por exemplo, políticas de atividade, deteção de anomalias e políticas de aplicativos OAuth.
    • Investigue e procure ataques de phishing de consentimento seguindo as orientações sobre caça avançada com o Microsoft 365 Defender.
  • Permitir o acesso a aplicativos confiáveis que atendem a determinados critérios e proteger contra os aplicativos que não atendem:
    • Configure as configurações de consentimento do usuário para permitir que os usuários consintam apenas com aplicativos que atendam a determinados critérios. Esses aplicativos incluem aplicativos desenvolvidos pela sua organização ou de editores verificados e apenas para permissões de baixo risco que você selecionar.
    • Use aplicativos que são verificados pelo editor. A verificação do editor ajuda os administradores e usuários a entender a autenticidade dos desenvolvedores de aplicativos por meio de um processo de verificação suportado pela Microsoft. Mesmo que um aplicativo tenha um editor verificado, ainda é importante revisar o prompt de consentimento para entender e avaliar a solicitação. Por exemplo, revisar as permissões que estão sendo solicitadas para garantir que elas estejam alinhadas com o cenário que o aplicativo está solicitando que elas habilitem, outros detalhes do aplicativo e do editor no prompt de consentimento e assim por diante.
    • Crie políticas proativas de governança de aplicativos para monitorar o comportamento de aplicativos de terceiros na plataforma Microsoft 365 para lidar com comportamentos suspeitos comuns de aplicativos.
    • Com Microsoft Security Copilot, você pode usar prompts de linguagem natural para obter informações a partir dos dados do Microsoft Entra. Isso ajuda a identificar e entender os riscos relacionados a aplicativos ou identidades de carga de trabalho. Saiba mais sobre como Avaliar riscos de aplicações utilizando o Microsoft Security Copilot no Microsoft Entra.

Próximos passos