How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

Rủi ro cao Thiệt hại trung bình: $3,000 Thời gian thường thấy: 1-7 days

Lừa Đảo OAuth Consent: Đánh Cắp Danh Tính Qua Quyền Ứng Dụng

Lừa đảo OAuth consent lợi dụng khung xác thực OAuth đáng tin cậy được sử dụng bởi Microsoft 365, Google Workspace và các nền tảng đám mây khác. Thay vì đánh cắp mật khẩu trực tiếp, kẻ tấn công tạo ra các ứng dụng bên thứ ba độc hại yêu cầu quyền truy cập rộng rãi vào email, tệp tin, danh bạ và tài nguyên đám mây. Khi nạn nhân nhấn 'Cho phép' hoặc 'Chấp nhận' trên màn hình đăng nhập có vẻ hợp pháp, họ vô tình cấp quyền truy cập liên tục cho ứng dụng của kẻ tấn công — quyền truy cập này vượt qua xác thực đa yếu tố và vẫn còn hiệu lực ngay cả khi mật khẩu đã được thay đổi. Phương thức tấn công này đã tăng 300% kể từ năm 2021 theo Báo cáo Phòng thủ Kỹ thuật số của Microsoft, với Trung tâm Khiếu nại Tội phạm Mạng FBI liên kết hơn 43 triệu đô la Mỹ thiệt hại do tấn công lừa đảo email doanh nghiệp dựa trên OAuth trong năm 2023. Kỹ thuật này đặc biệt nguy hiểm vì nó tận dụng hạ tầng xác thực hợp pháp, khiến việc phát hiện trở nên khó khăn đối với cả người dùng và các công cụ bảo mật truyền thống. Khác với việc đánh cắp thông tin đăng nhập, lừa đảo OAuth consent không kích hoạt cảnh báo vi phạm mật khẩu hay cảnh báo đăng nhập đáng ngờ. Kẻ tấn công thường gửi các yêu cầu OAuth độc hại này qua các chiến dịch email tinh vi, lời mời hợp tác giả mạo hoặc các trang web bị xâm nhập. FTC báo cáo rằng 68% nạn nhân là nhân viên tại các doanh nghiệp nhỏ và vừa nhận được thông báo SharePoint giả hoặc lời mời họp Teams giả. Mức thiệt hại tài chính trung bình là khoảng 70 triệu đồng cho cá nhân, nhưng các tổ chức phải chịu chi phí cao hơn nhiều, trung bình 1 tỷ đồng mỗi sự cố, bao gồm mất dữ liệu, gián đoạn kinh doanh và chi phí khắc phục.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Câu hỏi thường gặp Nơi báo cáo

Thủ đoạn phổ biến

• Kẻ tấn công đăng ký các ứng dụng độc hại với nhà cung cấp OAuth sử dụng tên giả mạo các dịch vụ hợp pháp như 'Cập nhật Bảo mật Office365' hoặc 'Trình quét Google Drive' để tạo sự tin cậy trên màn hình cấp quyền.
• Kẻ lừa đảo gửi email phishing chứa liên kết đến trang cấp quyền OAuth, thường được ngụy trang dưới dạng thông báo chia sẻ tài liệu, lời mời họp hoặc cảnh báo bảo mật khẩn cấp yêu cầu hành động ngay lập tức.
• Tội phạm tạo các yêu cầu quyền có vẻ tối thiểu nhưng thực tế cấp quyền truy cập rộng lớn — yêu cầu quyền 'Đọc email của bạn' bao gồm quyền truy cập toàn bộ hộp thư và khả năng chuyển tiếp tin nhắn.
• Kẻ tấn công sử dụng chiến thuật gây áp lực về thời gian trong mồi nhử, tuyên bố tài khoản sẽ bị khóa, tệp tin sẽ bị xóa hoặc tài liệu khẩn cấp cần xem xét ngay trong vài giờ để vượt qua sự cân nhắc kỹ lưỡng của nạn nhân.
• Các hoạt động tinh vi xâm nhập tài khoản nhân viên hợp pháp trước, sau đó gửi liên kết phishing OAuth từ địa chỉ email nội bộ đáng tin cậy để tăng tỷ lệ thành công trong tổ chức.
• Kẻ lừa đảo duy trì quyền truy cập liên tục bằng cách yêu cầu quyền offline_access, cho phép ứng dụng độc hại giữ quyền truy cập tài khoản vô thời hạn mà không cần nạn nhân xác thực lại.

Cách nhận biết

Màn hình cấp quyền OAuth xuất hiện sau khi nhấp vào liên kết trong email bất ngờ, đặc biệt là các tin nhắn khẩn cấp về tài liệu chia sẻ, cập nhật bảo mật hoặc xác minh tài khoản mà bạn không yêu cầu.
Tên ứng dụng trên màn hình cấp quyền chứa các thuật ngữ chung chung, lỗi chính tả hoặc tên gọi đáng ngờ như 'Trình đọc Email An toàn' hoặc 'Trình xem Tài liệu Pro' thay vì các thương hiệu quen thuộc.
Yêu cầu quyền bao gồm phạm vi truy cập rộng như 'Đọc và ghi tất cả các tệp của bạn,' 'Gửi email thay bạn,' hoặc 'Truy cập tất cả danh bạ của bạn' trong khi chức năng được tuyên bố không cần quyền rộng như vậy.
Thông tin nhà phát hành hiển thị 'Chưa xác minh' hoặc tên miền đáng ngờ thay vì tên miền công ty chính thức (microsoft.com, google.com) hoặc huy hiệu nhà phát hành đã xác minh.
Yêu cầu cấp quyền OAuth đến qua URL rút gọn (bit.ly, tinyurl) hoặc chuỗi chuyển hướng không quen thuộc thay vì trực tiếp từ tên miền chính thức của dịch vụ đã biết.
Thời điểm xuất hiện đáng ngờ — yêu cầu cấp quyền xuất hiện ngay sau khi nhận email không mong muốn về chia sẻ tài liệu, lời mời lịch hoặc cảnh báo bảo mật tạo cảm giác cấp bách giả tạo.

Cách tự bảo vệ

Trước khi nhấn 'Chấp nhận' trên bất kỳ màn hình cấp quyền OAuth nào, hãy xác minh nhà phát hành ứng dụng đã được xác minh và tên miền khớp với trang web chính thức của công ty — di chuột qua liên kết và kiểm tra đích URL thực tế.
Xem xét kỹ các quyền được yêu cầu và từ chối bất kỳ ứng dụng nào yêu cầu quyền vượt quá mức cần thiết cho mục đích đã nêu; ví dụ, trình xem tài liệu không cần quyền gửi email.
Cấu hình chính sách tổ chức trong bảng điều khiển quản trị Microsoft 365 hoặc Google Workspace để giới hạn cài đặt ứng dụng OAuth chỉ cho các ứng dụng được phê duyệt trước hoặc yêu cầu sự đồng ý của quản trị viên đối với các ứng dụng yêu cầu quyền nhạy cảm.
Thường xuyên kiểm tra các ứng dụng đã kết nối trong cài đặt tài khoản của bạn (Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy) và ngay lập tức thu hồi quyền truy cập đối với các ứng dụng không quen thuộc hoặc không sử dụng.
Kích hoạt ghi nhật ký và giám sát nâng cao cho các cấp quyền OAuth trong môi trường doanh nghiệp bằng cách sử dụng các công cụ bảo mật truy cập đám mây (CASB) hoặc công cụ bảo mật tích hợp để phát hiện các quyền ứng dụng đáng ngờ.
Triển khai đào tạo nâng cao nhận thức cho người dùng về lừa đảo OAuth consent, hướng dẫn nhân viên nhận biết các yêu cầu OAuth hợp pháp và độc hại, đồng thời thiết lập quy trình rõ ràng để xác minh tính xác thực của ứng dụng trước khi cấp quyền truy cập.

Ví dụ thực tế

Một quản lý marketing tại công ty tư vấn vừa và nhỏ nhận được email có vẻ từ tài khoản Microsoft 365 của đồng nghiệp với tiêu đề 'Ngân sách Q4 - Cần bạn xem gấp.' Nhấn vào liên kết SharePoint dẫn đến màn hình cấp quyền OAuth cho ứng dụng có tên 'Trình xem Tài liệu Office.' Chỉ trong vài giờ sau khi cấp quyền, ứng dụng của kẻ tấn công đã chuyển tiếp 2.847 email đến tài khoản bên ngoài, bao gồm hợp đồng khách hàng chứa thông tin ngân hàng được dùng để chuyển khoản 650 triệu đồng.

Một giám đốc nhân sự nhận được lời mời Google Calendar cho cuộc họp điều hành khẩn cấp. Việc chấp nhận lời mời kích hoạt yêu cầu OAuth cho ứng dụng lịch với quyền 'truy cập lịch cơ bản.' Nạn nhân đồng ý mà không để ý các quyền bổ sung truy cập Gmail và Drive. Trong ba ngày tiếp theo, kẻ tấn công đã lấy cắp thông tin cá nhân của 340 nhân viên, bao gồm số an sinh xã hội, trước khi vụ việc được phát hiện trong kiểm tra bảo mật định kỳ.

Chủ doanh nghiệp nhỏ nhấn vào liên kết trong email thông báo tài khoản Dropbox có hoạt động đáng ngờ và cần xác minh. Màn hình cấp quyền OAuth trông hợp pháp, mang màu sắc Dropbox và yêu cầu 'quyền xác minh tài khoản.' Sau khi chấp nhận, ứng dụng độc hại truy cập lưu trữ đám mây công ty, mã hóa các tệp quan trọng và đòi tiền chuộc 105 triệu đồng. Vì quyền truy cập được cấp qua OAuth hợp pháp, hoạt động mã hóa không kích hoạt cảnh báo bảo mật cho đến khi thiệt hại nghiêm trọng xảy ra.

Câu hỏi thường gặp

Lừa đảo OAuth consent khác gì so với các cuộc tấn công phishing thông thường?

Khác với phishing truyền thống đánh cắp mật khẩu, lừa đảo OAuth consent lừa bạn cấp quyền truy cập hợp pháp cho các ứng dụng độc hại. Điều này cho phép kẻ tấn công vượt qua xác thực đa yếu tố, và việc thay đổi mật khẩu sẽ không thu hồi quyền truy cập của họ. Cuộc tấn công lợi dụng chính khung OAuth đáng tin cậy, khiến việc phát hiện khó khăn vì quyền truy cập có vẻ được ủy quyền qua các kênh xác thực bình thường.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lừa đảo oauth consent: đánh cắp danh tính qua quyền ứng dụng is described at https://scamlens.org/vi/encyclopedia/oauth-consent-phishing.

https://scamlens.org/vi/encyclopedia/oauth-consent-phishing

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API