How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

Высокий Средний ущерб: $3,000 Обычная длительность: 1-7 days

Фишинг согласия OAuth: Кража личности через разрешения приложений

Фишинг согласия OAuth эксплуатирует доверенную инфраструктуру аутентификации OAuth, используемую Microsoft 365, Google Workspace и другими облачными платформами. Вместо прямой кражи паролей злоумышленники создают вредоносные сторонние приложения, запрашивающие широкие разрешения на доступ к электронной почте, файлам, контактам и облачным ресурсам. Когда жертвы нажимают «Разрешить» или «Принять» на экране входа, который выглядит как легитимный, они невольно предоставляют приложению злоумышленника постоянный доступ к своим учётным записям — доступ, который обходит многофакторную аутентификацию и остаётся активным даже после изменения пароля. Этот вектор атаки увеличился на 300% с 2021 года согласно отчёту Microsoft Digital Defense Report, и Центр жалоб на интернет-преступления ФБР связал более 43 миллионов долларов убытков от компрометации корпоративной электронной почты с атаками на основе OAuth в 2023 году. Метод особенно опасен, поскольку использует легитимную инфраструктуру аутентификации, что затрудняет обнаружение как пользователями, так и традиционными инструментами безопасности. В отличие от кражи учётных данных, фишинг согласия OAuth не вызывает предупреждений о нарушении пароля или подозрительного входа. Злоумышленники обычно доставляют эти вредоносные запросы OAuth через изощрённые кампании спама, поддельные приглашения на сотрудничество или скомпрометированные веб-сайты. По данным FTC, 68% жертв — сотрудники малых и средних предприятий, получившие поддельные уведомления SharePoint или приглашения на встречи Teams. Средние финансовые потери для физических лиц составляют 3 000 рублей, но организации сталкиваются с существенно более высокими затратами, в среднем 47 000 долларов на один инцидент, включая утечку данных, прерывание деятельности и расходы на восстановление.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Частые вопросы Куда сообщить

Распространённые тактики

• Злоумышленники регистрируют вредоносные приложения у поставщиков OAuth, используя названия, имитирующие легитимные сервисы, например «Office365 Security Update» или «Google Drive Scanner», чтобы выглядеть надёжно на экране согласия.
• Мошенники отправляют фишинговые письма со ссылками на страницы согласия OAuth, часто маскируя их под уведомления о совместном доступе к документам, приглашения на встречи или срочные оповещения о безопасности, требующие немедленных действий.
• Преступники составляют запросы разрешений, которые выглядят минимальными, но фактически предоставляют обширный доступ — запрашивая разрешение «Читать вашу электронную почту», которое включает полный доступ к почтовому ящику и возможности переадресации сообщений.
• Злоумышленники используют тактику цейтнота в своих приманках, утверждая, что учётные записи будут заблокированы, файлы будут удалены или срочные документы требуют немедленного просмотра в течение нескольких часов, чтобы обойти внимательное рассмотрение жертвами.
• Изощрённые операции сначала компрометируют легитимные учётные записи сотрудников, а затем отправляют ссылки на фишинг OAuth с доверенных внутренних адресов электронной почты, чтобы повысить успешность атак в организациях.
• Мошенники сохраняют постоянный доступ, запрашивая разрешения offline_access, что позволяет их вредоносным приложениям неограниченно поддерживать доступ без необходимости повторной аутентификации жертвы.

Как распознать

Экран согласия OAuth появляется после клика по ссылке в неожиданном письме, особенно в срочных сообщениях о совместных документах, обновлениях безопасности или проверке учётной записи, которые вы не запрашивали.
Название приложения на экране согласия содержит обобщённые термины, опечатки или подозрительные названия типа «Secure Email Reader» или «Document Viewer Pro» вместо узнаваемых торговых марок.
Запросы разрешений включают широкий доступ, например «Доступ для чтения и записи ко всем вашим файлам», «Отправка писем от вашего имени» или «Доступ ко всем вашим контактам», когда заявленная функция не требует такого обширного доступа.
Информация об издателе показывает «Неподтверждённый» статус или отображает подозрительное доменное имя вместо официального доменного имени компании (microsoft.com, google.com) или значка проверенного издателя.
Запрос согласия OAuth поступает через сокращённый URL (bit.ly, tinyurl) или незнакомую цепь перенаправлений вместо прямого поступления от официального домена известного сервиса.
Время срочное — запросы согласия появляются сразу же после получения неожиданных писем об общем доступе к документам, приглашений на календарь или оповещений о безопасности, которые создают искусственное чувство срочности.

Как защитить себя

Перед нажатием кнопки «Принять» на любом экране согласия OAuth убедитесь, что издатель приложения подтверждён и домен соответствует официальному веб-сайту компании — наведите курсор на ссылки и проверьте фактический адрес назначения URL.
Внимательно просмотрите запрашиваемые разрешения и отклоните любое приложение, запрашивающее доступ сверх того, что необходимо для его заявленной функции; средство просмотра документов не должно требовать разрешений на отправку писем.
Настройте организационные политики в консолях администратора Microsoft 365 или Google Workspace, чтобы ограничить установку приложений OAuth предварительно одобренными приложениями или требовать согласия администратора для приложений, запрашивающих чувствительные разрешения.
Регулярно проверяйте подключённые приложения в параметрах вашей учётной записи (Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy) и немедленно отзывайте доступ неизвестных или неиспользуемых приложений.
Включите расширенное логирование и мониторинг выдачи разрешений OAuth в корпоративных средах, используя облачные брокеры безопасности доступа (CASB) или встроенные инструменты безопасности для обнаружения подозрительных разрешений приложений.
Внедрите обучение сотрудников по осведомлённости специально о фишинге согласия OAuth, обучая работников распознавать легитимные и вредоносные запросы OAuth и устанавливая чёткие протоколы проверки подлинности приложений перед предоставлением доступа.

Реальные примеры

Менеджер по маркетингу в консалтинговой фирме среднего размера получил письмо, якобы от учётной записи Microsoft 365 коллеги с темой «Бюджет Q4 — требуется ваш просмотр СРОЧНО». Клик по ссылке SharePoint привёл к экрану согласия OAuth для приложения «Office Document Viewer». В течение нескольких часов после предоставления доступа приложение злоумышленника переадресовало 2 847 писем на внешнюю учётную запись, включая контракты с клиентами, содержащие банковские реквизиты, которые были использованы для перенаправления платежа на сумму 28 000 долларов.

Директор отдела кадров получил то, что казалось приглашением в Google Календарь на срочное совещание руководителей. Принятие приглашения вызвало запрос OAuth для приложения календаря с просьбой о «базовом доступе к календарю». Жертва одобрила это, не заметив дополнительных разрешений для Gmail и Drive. В течение следующих трёх дней злоумышленник экспортировал личную информацию сотрудников, включая номера социального страхования 340 работников, перед обнаружением нарушения во время плановой проверки безопасности.

Владелец малого бизнеса кликнул по ссылке в письме, утверждающем, что его учётная запись Dropbox имеет подозрительную активность и требует проверки. Экран согласия OAuth выглядел легитимным, оформленный с логотипом Dropbox и запрашивающий разрешения на «проверку учётной записи». После одобрения вредоносное приложение получило доступ к облачному хранилищу компании, зашифровало критически важные деловые файлы и потребовало выкуп в размере 4 500 долларов. Поскольку доступ был предоставлен через легитимный OAuth, деятельность по шифрованию не вызвала предупреждений о безопасности до нанесения значительного ущерба.

Частые вопросы

Чем фишинг согласия OAuth отличается от обычных фишинговых атак?

В отличие от традиционного фишинга, который крадёт пароли, фишинг согласия OAuth обманывает вас, заставляя предоставить легитимные разрешения доступа вредоносным приложениям. Это означает, что злоумышленники обходят многофакторную аутентификацию, и изменение пароля не отзовёт их доступ. Атака эксплуатирует саму доверенную инфраструктуру OAuth, что затрудняет обнаружение, поскольку доступ выглядит авторизованным через обычные каналы аутентификации.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), фишинг согласия oauth: кража личности через разрешения приложений is described at https://scamlens.org/ru/encyclopedia/oauth-consent-phishing.

https://scamlens.org/ru/encyclopedia/oauth-consent-phishing

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Фишинг согласия OAuth: Кража личности через разрешения приложений

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Частые вопросы

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide