Dessa nätfiskeattacker missbrukar legitima molntjänstleverantörer, såsom Microsoft, Google och Facebook, som använder sig av OAuth 2.0-auktorisering, ett vanligt använt protokoll som tillåter tredjepartsapplikationer att komma åt en användares konto.
Målet med dessa attacker är att lura intet ont anande användare att ge behörigheter (samtycke) till skadliga applikationer.
Detta skiljer sig från en typisk autentiseringsattack, där en angripare som vill stjäla inloggningsuppgifter skulle skapa ett övertygande e-postmeddelande, skapa en falsk hemsida och förvänta sig att användare skulle falla för lockelsen att logga in och användaruppgifterna skickas då vidare till angriparen.
Vid en nätfiskeattack med samtycke så sker inloggningen hos en legitim identitetsleverantör (intygare), snarare än en falsk inloggningssida, i ett försök att lura användare att ge behörigheter till skadliga applikationer.
Beroende på vilka behörigheter som dessa applikationer beviljats kan denna behörighet användas till att komma åt data, såsom filer, kontakter, mejl och kalendrar.
Mer information och om hur du skyddar dig, kan du läsa här:
https://www.microsoft.com/security/blog/2021/07/14/microsoft-delivers-comprehensive-solution-to-battle-rise-in-consent-phishing-emails/
Varningar samordnas genom Digitala Varningsgruppen , ett nätverk för att minska risken för digitala brott.