コンセントフィッシング(Consent phishing)は、ユーザーが第三者のSaaSアプリケーションにアカウントへのアクセスを許可するように欺かれ、機密情報を取得したり、ユーザーの代わりに行動したりするタイプのフィッシング攻撃です。このタイプの攻撃は、GoogleやMicrosoftなどのアイデンティティおよびOAuthプロバイダーが提供する既存の権限を利用しています。たとえば、MicrosoftのMail.ReadWriteスコープを使用すると、第三者のSaaSアプリがユーザーの受信トレイにある任意の電子メールを読み取ったり返信したりできます。
securityboulevard.com
Consent Phishing: The New, Smarter Way to Phish
bsky.app
Hacker & Security News on Bluesky @hacker.at.thenote.app
TheNote.app (macOS, iOS and Android apps)
2025-01-03