How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

उच्च जोखिम औसत हानि: $3,000 सामान्य अवधि: 1-7 days

OAuth सहमति फ़िशिंग: ऐप अनुमतियों के माध्यम से पहचान की चोरी

OAuth सहमति फ़िशिंग Microsoft 365, Google Workspace और अन्य क्लाउड प्लेटफॉर्म द्वारा उपयोग किए जाने वाले विश्वसनीय OAuth प्रमाणीकरण ढांचे का दुरुपयोग करता है। सीधे पासवर्ड चोरी करने के बजाय, हमलावर दुर्भावनापूर्ण तृतीय-पक्ष एप्लिकेशन बनाते हैं जो ईमेल, फ़ाइलें, संपर्क और क्लाउड संसाधनों तक व्यापक अनुमतियाँ मांगते हैं। जब पीड़ित 'अनुमति दें' या 'स्वीकार करें' पर क्लिक करते हैं, जो एक वैध लॉगिन स्क्रीन प्रतीत होती है, तो वे अनजाने में हमलावर के ऐप को अपने खातों तक स्थायी पहुंच प्रदान कर देते हैं—ऐसी पहुंच जो मल्टी-फैक्टर प्रमाणीकरण को बायपास करती है और पासवर्ड बदलने के बाद भी सक्रिय रहती है। Microsoft के डिजिटल डिफेंस रिपोर्ट के अनुसार, 2021 से इस हमले में 300% की वृद्धि हुई है, और FBI के इंटरनेट क्राइम कंप्लेंट सेंटर ने 2023 में OAuth-आधारित हमलों से 43 मिलियन डॉलर से अधिक के बिजनेस ईमेल समझौता नुकसान को जोड़ा है। यह तकनीक विशेष रूप से खतरनाक है क्योंकि यह वैध प्रमाणीकरण अवसंरचना का उपयोग करती है, जिससे उपयोगकर्ताओं और पारंपरिक सुरक्षा उपकरणों दोनों के लिए पहचानना मुश्किल हो जाता है। क्रेडेंशियल चोरी के विपरीत, OAuth सहमति फ़िशिंग पासवर्ड उल्लंघन अलर्ट या संदिग्ध लॉगिन चेतावनियाँ उत्पन्न नहीं करता। हमलावर आमतौर पर इन दुर्भावनापूर्ण OAuth अनुरोधों को परिष्कृत ईमेल अभियानों, नकली सहयोग निमंत्रणों या समझौता की गई वेबसाइटों के माध्यम से भेजते हैं। FTC रिपोर्ट करता है कि 68% पीड़ित छोटे से मध्यम व्यवसायों के कर्मचारी हैं जो नकली SharePoint सूचनाएँ या Teams मीटिंग निमंत्रण प्राप्त करते हैं। व्यक्तिगत वित्तीय नुकसान औसतन ₹2,30,000 तक पहुंचता है, लेकिन संगठनों को डेटा चोरी, व्यापार व्यवधान और सुधार खर्चों सहित प्रति घटना औसतन ₹36,00,000 का भारी नुकसान होता है।

सामान्य रणनीतियाँ कैसे पहचानें खुद को कैसे सुरक्षित रखें वास्तविक उदाहरण अक्सर पूछे जाने वाले प्रश्न रिपोर्ट कहाँ करें

सामान्य रणनीतियाँ

• हमलावर OAuth प्रदाताओं के साथ दुर्भावनापूर्ण ऐप्स पंजीकृत करते हैं, जिनके नाम वैध सेवाओं जैसे 'Office365 Security Update' या 'Google Drive Scanner' की नकल करते हैं ताकि सहमति स्क्रीन पर विश्वसनीय दिखें।
• धोखेबाज फ़िशिंग ईमेल भेजते हैं जिनमें OAuth सहमति पृष्ठों के लिंक होते हैं, जो अक्सर दस्तावेज़ साझा करने की सूचनाओं, बैठक निमंत्रणों या तत्काल कार्रवाई की मांग करने वाले सुरक्षा अलर्ट के रूप में छिपे होते हैं।
• अपराधी अनुमति अनुरोध तैयार करते हैं जो कम दिखते हैं लेकिन वास्तव में व्यापक पहुंच प्रदान करते हैं—जैसे 'आपका ईमेल पढ़ें' की अनुमति जो पूर्ण मेलबॉक्स पहुंच और संदेश अग्रेषण क्षमताओं को शामिल करती है।
• हमलावर समय दबाव की रणनीति का उपयोग करते हैं, यह दावा करते हुए कि खाते लॉक हो जाएंगे, फ़ाइलें हटाई जाएंगी, या तत्काल समीक्षा के लिए जरूरी दस्तावेज़ हैं, ताकि पीड़ितों की सावधानी को पार किया जा सके।
• परिष्कृत ऑपरेशन पहले वैध कर्मचारी खातों को समझौता करते हैं, फिर संगठनों के भीतर सफलता दर बढ़ाने के लिए विश्वसनीय आंतरिक ईमेल पतों से OAuth फ़िशिंग लिंक भेजते हैं।
• धोखेबाज offline_access अनुमतियाँ मांगकर स्थायी पहुंच बनाए रखते हैं, जिससे उनके दुर्भावनापूर्ण ऐप बिना पुनः प्रमाणीकरण के अनिश्चित काल तक खाते तक पहुंच बनाए रख सकते हैं।

कैसे पहचानें

OAuth सहमति स्क्रीन अप्रत्याशित ईमेल में लिंक पर क्लिक करने के बाद दिखाई देती है, खासकर साझा दस्तावेज़, सुरक्षा अपडेट या खाता सत्यापन के बारे में तत्काल संदेशों में, जिन्हें आपने अनुरोध नहीं किया है।
सहमति स्क्रीन पर एप्लिकेशन का नाम सामान्य शब्दों, वर्तनी की गलतियों या संदिग्ध नामकरण जैसे 'Secure Email Reader' या 'Document Viewer Pro' होता है, जो पहचाने जाने वाले ब्रांडों से अलग होता है।
अनुमति अनुरोध व्यापक पहुंच स्कोप शामिल करते हैं जैसे 'आपकी सभी फ़ाइलों को पढ़ने और लिखने की अनुमति', 'आपकी ओर से ईमेल भेजना', या 'आपके सभी संपर्कों तक पहुंच' जब कि कथित कार्य के लिए इतनी व्यापक अनुमति आवश्यक नहीं होती।
प्रकाशक जानकारी 'असत्यापित' दिखाती है या संदिग्ध डोमेन नाम प्रदर्शित करती है, न कि आधिकारिक कंपनी डोमेन (microsoft.com, google.com) या सत्यापित प्रकाशक बैज।
OAuth सहमति अनुरोध एक संक्षिप्त URL (bit.ly, tinyurl) या अपरिचित रीडायरेक्ट श्रृंखला के माध्यम से आता है, न कि किसी ज्ञात सेवा के आधिकारिक डोमेन से सीधे।
समय संदिग्ध होता है—सहमति अनुरोध बिना मांगे दस्तावेज़ साझा करने, कैलेंडर निमंत्रण या सुरक्षा अलर्ट के तुरंत बाद आते हैं जो कृत्रिम तात्कालिकता पैदा करते हैं।

खुद को कैसे सुरक्षित रखें

किसी भी OAuth सहमति स्क्रीन पर 'स्वीकार करें' पर क्लिक करने से पहले, एप्लिकेशन प्रकाशक के सत्यापित होने और डोमेन के आधिकारिक कंपनी वेबसाइट से मेल खाने की पुष्टि करें—लिंक पर होवर करें और वास्तविक URL गंतव्य जांचें।
मांगी गई अनुमतियों की सावधानीपूर्वक समीक्षा करें और किसी भी ऐप को अस्वीकार करें जो अपने घोषित उद्देश्य से अधिक पहुंच मांगता है; एक दस्तावेज़ दर्शक को ईमेल भेजने की अनुमति की आवश्यकता नहीं होनी चाहिए।
Microsoft 365 या Google Workspace एडमिन कंसोल में संगठनात्मक नीतियाँ कॉन्फ़िगर करें ताकि OAuth ऐप इंस्टॉलेशन केवल पूर्व-स्वीकृत ऐप्स तक सीमित हो या संवेदनशील अनुमतियाँ मांगने वाले ऐप्स के लिए व्यवस्थापक सहमति आवश्यक हो।
अपने खाते की सेटिंग्स में जुड़े ऐप्स का नियमित ऑडिट करें (Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy) और अपरिचित या अप्रयुक्त ऐप्स की पहुंच तुरंत रद्द करें।
उद्यम वातावरण में OAuth सहमति अनुमतियों के लिए उन्नत लॉगिंग और निगरानी सक्षम करें, क्लाउड एक्सेस सुरक्षा ब्रोकर (CASB) या अंतर्निहित सुरक्षा उपकरणों का उपयोग करके संदिग्ध एप्लिकेशन अनुमतियों का पता लगाएं।
OAuth सहमति फ़िशिंग के बारे में विशेष उपयोगकर्ता जागरूकता प्रशिक्षण लागू करें, कर्मचारियों को वैध और दुर्भावनापूर्ण OAuth अनुरोधों को पहचानना सिखाएं और पहुंच देने से पहले एप्लिकेशन प्रामाणिकता की पुष्टि के लिए स्पष्ट प्रोटोकॉल स्थापित करें।

वास्तविक उदाहरण

एक मध्यम आकार की कंसल्टिंग फर्म के मार्केटिंग मैनेजर को एक ईमेल मिला जो एक सहयोगी के Microsoft 365 खाते से प्रतीत होता था, विषय था 'Q4 बजट - आपकी समीक्षा ASAP आवश्यक।' SharePoint लिंक पर क्लिक करने पर 'Office Document Viewer' नामक ऐप के लिए OAuth सहमति स्क्रीन आई। पहुंच देने के कुछ घंटों के भीतर, हमलावर का ऐप 2,847 ईमेल बाहरी खाते को अग्रेषित कर चुका था, जिनमें ग्राहक अनुबंध और बैंकिंग विवरण शामिल थे, जिनका उपयोग ₹21,00,000 के वायर भुगतान को पुनर्निर्देशित करने के लिए किया गया।

एक HR निदेशक को एक Google कैलेंडर निमंत्रण मिला जो एक तत्काल कार्यकारी बैठक के लिए था। निमंत्रण स्वीकार करने पर एक कैलेंडर ऐप के लिए OAuth अनुरोध आया जो 'मूल कैलेंडर पहुंच' मांग रहा था। पीड़ित ने अतिरिक्त Gmail और Drive पहुंच अनुमतियों को नोट किए बिना इसे मंजूरी दे दी। अगले तीन दिनों में, हमलावर ने 340 कर्मचारियों के सामाजिक सुरक्षा नंबर सहित व्यक्तिगत जानकारी चोरी की, जो एक नियमित सुरक्षा ऑडिट के दौरान पता चली।

एक छोटे व्यवसाय के मालिक को एक ईमेल मिला जिसमें दावा किया गया था कि उनके Dropbox खाते में संदिग्ध गतिविधि हुई है और सत्यापन आवश्यक है। OAuth सहमति स्क्रीन वैध प्रतीत हुई, Dropbox रंगों के साथ ब्रांडेड और 'खाता सत्यापन अनुमतियाँ' मांग रही थी। मंजूरी के बाद, दुर्भावनापूर्ण ऐप ने कंपनी के क्लाउड स्टोरेज तक पहुंच बनाई, महत्वपूर्ण व्यावसायिक फ़ाइलों को एन्क्रिप्ट किया और ₹3,50,000 का फिरौती मांग की। क्योंकि पहुंच वैध OAuth के माध्यम से दी गई थी, एन्क्रिप्शन गतिविधि ने सुरक्षा अलर्ट नहीं ट्रिगर किए जब तक कि काफी नुकसान न हो गया।

अक्सर पूछे जाने वाले प्रश्न

OAuth सहमति फ़िशिंग सामान्य फ़िशिंग हमलों से कैसे अलग है?

पारंपरिक फ़िशिंग जहां पासवर्ड चोरी किए जाते हैं, OAuth सहमति फ़िशिंग आपको दुर्भावनापूर्ण एप्लिकेशन को वैध पहुंच अनुमतियाँ देने के लिए धोखा देता है। इसका मतलब है कि हमलावर मल्टी-फैक्टर प्रमाणीकरण को बायपास कर लेते हैं, और आपका पासवर्ड बदलने से उनकी पहुंच रद्द नहीं होती। यह हमला विश्वसनीय OAuth ढांचे का दुरुपयोग करता है, जिससे पहचानना कठिन हो जाता है क्योंकि पहुंच सामान्य प्रमाणीकरण चैनलों के माध्यम से अधिकृत प्रतीत होती है।

रिपोर्ट कहाँ करें — भारत

आपके क्षेत्र में इस घोटाले की रिपोर्ट के लिए आधिकारिक चैनल।

राष्ट्रीय साइबर अपराध रिपोर्टिंग पोर्टल

साइबर अपराध

गृह मंत्रालय का साइबर अपराध हेल्पलाइन (1930) और रिपोर्टिंग पोर्टल।

1930 जाएँ →

CERT-In

रिपोर्टिंग

इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के तहत साइबर सुरक्षा एजेंसी।

जाएँ →

राष्ट्रीय उपभोक्ता हेल्पलाइन

उपभोक्ता संरक्षण

उपभोक्ता मामलों के विभाग द्वारा संचालित शिकायत हेल्पलाइन।

1915 जाएँ →

RBI Sachet (वित्तीय धोखाधड़ी)

वित्तीय नियामक

भारतीय रिजर्व बैंक का अनधिकृत संस्थाओं की रिपोर्ट के लिए पोर्टल।

जाएँ →

क्या आपको लगता है कि आप इस घोटाले के संपर्क में आए?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), oauth सहमति फ़िशिंग: ऐप अनुमतियों के माध्यम से पहचान की चोरी is described at https://scamlens.org/hi/encyclopedia/oauth-consent-phishing.

https://scamlens.org/hi/encyclopedia/oauth-consent-phishing

यहाँ से शुरू करें

सुरक्षा जाँच

इंटेलिजेंस

उपकरण और रिपोर्ट

प्रीमियम सेवाएँ

एक्सटेंशन और API