Samtyckesphishing

Samtyckesphishing lurar en användare att ge en skadlig OAuth-app åtkomst till sitt Google Workspace- eller Microsoft 365-konto. Inget lösenord stjäls, MFA påverkas inte, och angriparen har brevlådan.

Samtyckesphishing är en attack där offret luras att ge en skadlig applikation OAuth-behörigheter till sitt konto, vilket ger angriparen legitim, tokenbaserad åtkomst till e-post, filer och kalendrar utan att något lösenord stjäls. Den kringgår MFA i design, eftersom offret personligen godkänner åtkomsten.

Snabbfakta

Så fungerar attacken

  1. Angriparen registrerar en app med ett trovärdigt namn och ikon ("PDF Viewer Pro", "AI Email Assistant").
  2. Ett nätfiske-mejl eller en länk ber offret att ansluta den: samtyckesskärmen är Googles eller Microsofts egen, äkta och betryggande.
  3. Offret klickar Tillåt på scopes som "Läs din e-post" eller "Åtkomst till dina filer".
  4. Angriparen har nu en giltig token: tyst brevlådeåtkomst för spaning, kapning av trådar för business email compromise, datastöld eller lateralt nätfiske skickat som offret.

Den farliga delen är steg 3: varje visuellt förtroendetecken är äkta. Sidan är autentisk, hänglåset giltigt; bara appen bakom är fientlig.

Varför traditionellt försvar missar den

Det finns ingen skadlig bilaga, ingen credential-harvest-sida och ingen misslyckad inloggning att larma om. Åtkomsten är tekniskt legitim, given via plattformens egen ytterdörr, och lever tyst kvar i en lista med anslutna appar som få organisationer granskar. Det är samma synlighetslucka som gör att skugg-IT ackumuleras, beväpnad.

Så försvarar du dig

Begränsa användarnas samtycke i Google Admin och Microsoft Entra (kräv admin-godkännande för overifierade appar och känsliga scopes), granska befintliga OAuth-behörigheter och återkalla det ingen känner igen, utbilda anställda i att en äkta samtyckesskärm inte är bevis på en äkta app, och övervaka kontinuerligt efter nya behörigheter, för ett klick återskapar risken.

Så stoppar Sentaro samtyckesphishing

Sentaros App Intelligence-lager bevakar OAuth-lagret i Google Workspace och Microsoft 365: samtyckesphishing-luror blockeras i mailflödet, nya behörigheter visas med sina scopes, och lookalike-appar som imiterar kända varumärken eller AI-verktyg flaggas innan åtkomst godkänns, samma lager som ger dig skugg-IT-upptäckt.

Vanliga frågor

Vad är samtyckesphishing enkelt förklarat?

I stället för att stjäla ditt lösenord luras du att klicka Tillåt på en skadlig apps behörighetsförfrågan. Appen har sedan verklig åtkomst till din e-post eller dina filer, och MFA hjälper inte eftersom du godkänt den.

Varför stoppar det inte attacken att byta lösenord?

Angriparen har en OAuth-token, inte ditt lösenord. Åtkomsten upphör först när appens behörighet återkallas i ditt Google- eller Microsoft-konto eller av en administratör.

Hur ser jag vilka appar som har åtkomst till mitt konto?

I Google: Säkerhet > Tredjepartsappar med kontoåtkomst (admin: API-kontroller > App-åtkomstkontroll). I Microsoft 365: Entra admin center > Företagsapplikationer, eller myapps.microsoft.com för enskilda användare.

Hur vanligt är samtyckesphishing?

Det har vuxit stadigt sedan plattformarna härdade lösenordsattacker med MFA, och både Microsoft och Google har återkommande varnat för vågor av det. Angripare följer minsta motståndets väg, och behörigheter är nu ofta enklare att stjäla än lösenord.

Hänger samtyckesphishing ihop med skugg-AI?

Direkt: anställda vänjer sig genom AI-boomen vid att koppla nya verktyg till sina konton, och angripare utnyttjar exakt den vanan med falska AI-appar som begär breda scopes.