Η Microsoft ανακοίνωσε ότι οι προστασίες phishing, συμπεριλαμβανομένης της επαλήθευσης publisher εφαρμογών OAuth και των πολιτικών συναίνεσης εφαρμογών, είναι πλέον διαθέσιμες στο Office 365.

Αυτές οι προστασίες έχουν σχεδιαστεί για να προστατεύουν τους χρήστες του Office 365 από μια παραλλαγή επιθέσεων ηλεκτρονικού ψαρέματος που βασίζεται στα apps γνωστή ως “consent phishing”.

Σε αυτόν τον τύπο επίθεσης ηλεκτρονικού ψαρέματος (phishing), οι στόχοι παραπλανούνται ώστε να παρέχουν πρόσβαση στους λογαριασμούς τους στο Office 365, παρέχοντας δικαιώματα σε κακόβουλες εφαρμογές του Office 365 OAuth.

Η Microsoft λέει ότι θα κυκλοφορήσει τρεις ενημερώσεις που έχουν σχεδιαστεί για να ενισχύσουν την ασφάλεια του οικοσυστήματος της εφαρμογής Office 365, όπως:

  • Γενική διαθεσιμότητα επαλήθευσης publisher
  • Ενημερώσεις συναίνεσης χρήστη για μη επαληθευμένους publishers
  • Γενική διαθεσιμότητα των πολιτικών συναίνεσης εφαρμογών

Αποκλείστε εφαρμογές που προέρχονται από μη επαληθευμένες πηγές

Το “Publisher verification” επιτρέπει στους προγραμματιστές να “προσθέσουν μια επαληθευμένη ταυτότητα στα app registrations και να αποδείξουν στους πελάτες ότι η εφαρμογή προέρχεται από μια αυθεντική πηγή.”

Από τη στιγμή που αυτή η λειτουργία εισήλθε σε δημόσια προεπισκόπηση τον Μάιο, περισσότεροι από 700 app publishers έχουν επαληθευτεί από τη Microsoft, τα οποία ανέρχονται συνολικά σε πάνω από 1300 app registrations.

Οι εφαρμογές που έχουν υλοποιηθεί απο διαπιστευμένους εκδότες διαθέτουν το χαρακτηριστικό “Verified” σήμα σε όλες τις συναινέσεις διαφημίσεων, καθώς και σε άλλες οθόνες όπου εμφανίζονται για να διευκολύνουν τους end-users να επαληθεύουν την αυθεντικότητα της εφαρμογής.

Οι νέες γενικά διαθέσιμες πολιτικές συναίνεσης εφαρμογών για τη συναίνεση του end-user παρέχουν στους διαχειριστές “περισσότερους ελέγχους για τις εφαρμογές και δικαιώματα για τα οποία μπορούν να συναινέσουν οι χρήστες.”

“Για να μειώσουμε τον κίνδυνο κακόβουλων εφαρμογών που προσπαθούν να εξαπατήσουν τους χρήστες ώστε να τους παραχωρήσουν πρόσβαση στα δεδομένα του οργανισμού σας, σας συνιστούμε να επιτρέπετε τη συγκατάθεση των χρηστών μόνο σε εφαρμογές που έχουν δημοσιευτεί από έναν επαληθευμένο publisher”, εξηγεί η Microsoft.

Μόλις διαμορφωθούν οι πολιτικές συναίνεσης εφαρμογής, οι χρήστες θα μπορούν να εκχωρούν δικαιώματα μόνο σε εφαρμογές που έχουν αναπτυχθεί από επαληθευμένους publishers, αποκλείοντας έτσι τις μελλοντικές επιθέσεις phishing.

Όλοι οι χρήστες του Office 365 θα προστατεύονται από επιθέσεις που βασίζονται σε εφαρμογές, τώρα που η επαλήθευση του publisher είναι γενικά διαθέσιμη καθώς “δεν θα μπορούν πλέον να συναινούν σε νέες εφαρμογές που έχουν εγγραφεί μετά τις 8 Νοεμβρίου 2020 και προέρχονται από μη επαληθευμένους publishers.”

Τέτοιες εφαρμογές θα επισημαίνονται αυτόματα ως επικίνδυνες και θα επισημαίνονται ως μη επαληθευμένες σε όλες τις οθόνες συναίνεσης.