不要随意将大型网站账号的授权给其他网页应用程序！小心，这样的授权行为有可能会导致原本账号凭证被外泄

为了增加使用者运用网站服务的便利性，在注册账号的过程里，有越来越多的网站服务，会借由串接其他服务账号的做法，例如，让使用者运用自己的脸书、Google等网站的账号，来存取新的网站服务，这样的机制已是行之有年，但近年来也成为攻击者下手的目标──攻击者架设假的应用程序，诱骗使用者以OAuth身份验证的方式，提供线上服务的权限，进而窃取个人机密。最近微软提出警告，他们发现滥用这种攻击手段的情况，自2020年10月到今年上半，有显著增加的现象，呼吁使用者要加以留意。

这种攻击行动的目标，是借由欺骗微软、Google、脸书，或是推特等云端服务的使用者，向攻击者的应用程序授予权限，进而让攻击者的应用程序取得上述云端服务的Token，从API查询受害云端服务账号的资料，而这种恶意取得云端服务账号授权的攻击手法，被称为“同意网络钓鱼攻击（Consent Phishing Attack，或Illicit Consent Grants）”。

为何叫做“同意”网络钓鱼攻击？原因在于，攻击者的应用程序想要取得受害者在大型网站账号的存取权限，一旦受害者不假思索按下“同意”，就给予相关的授权。而这种手法的危险性，其实比钓鱼邮件要求受害者登入为由，直接骗取大型网站帐密还要严重，因为，在这种钓鱼邮件攻击中，骇客想要骗取特定云端服务的账号及密码，而将受害者导向假冒的登入网页，但这种同意网络钓鱼攻击并非如此，攻击者会引导受害者至合法服务的权限授与网站，而且攻击者一旦有了Token，就能在不知道密码的情况下，窃取该账号的机密资料，攻击者甚至能进一步在受害账号的所属组织里，执行侦察工作，然后在组织的内部网络发动攻击。换言之，同意网络钓鱼攻击不若骗取帐密的假登入网页，使用者无法启用多因素验证来防范。对此，微软指出，这类攻击手法将更难被察觉。

而这种钓鱼攻击手法的受害情形为何？微软没有进一步说明，不过，他们举出一起利用这类手法的钓鱼邮件为例，内容是引诱受害者检视并签署一份线上文件，并且强调有限期完成的时效性。而这个钓鱼邮件提供的URL，网域为login.microsoftonline.com，但除了微软自己的OAuth网址，研究人员也看到使用Google的OAuth的情况。

对于组织的IT人员而言，究竟要如何防范这种型态的钓鱼攻击？微软指出，除了针对使用者进行宣导，透过应用程序名称、网域等特征，来初步判断疑似是攻击者冒充合法应用程序，来请求特定服务账号存取权限的情况，管理者或许可以限制使用者只能授权给信任的网页应用程序，来减少这类情况发生。

但在上述的资安意识与管制措施之余，有些资安防护系统也能协助IT人员拦阻，或是在攻击发生后找出这类事故。像是微软就举出在云端应用安全服务中，IT人员可借由应用程序治理规则，在定义合法应用程序行为的基准之后，一旦该服务发现不符合预期的行为，就会进行阻挡。此外，针对有这类问题URL的电子邮件，有些邮件防护系统也可能具备阻挡的能力。

而对于事件调查的部分，有些EDR或XDR系统可透过查询指令，资安人员可针对Google、脸书、微软等OAuth验证的顶级网域（TLD），辅以可能是攻击者滥用的账号ID等资讯，来进行调查。

针对这种钻OAuth身份验证服务的漏洞，资安业者TrustedSec与Secureworks，分别于今年5月中旬与6月初，揭露他们针对微软Azure AD和Microsoft 365的研究，并认为这种手法也可能被用于其他OAuth验证服务。Secureworks也提供名为PhishInSuits的模拟攻击工具，让IT人员能和使用者展现这类攻击的运作原理。