セキュリティ企業Proofpointは、ハッカーが多要素認証(MFA)を巧妙に回避し、企業ユーザーのアカウントを手に入れる方法を見つけたことを明らかにしました。
要するに、ハッカーはOAuth 2.0のワンタイムコードを利用しています。OAuth 2.0は、スマートTVなどの認証に使われることを想定したオープン標準です。
典型的には、詐欺師は特定のデバイスにワンタイムコードが必要だと装い、ユーザーにそのコードをMicrosoftの認証リンクに入力させます。ユーザーが入力すると、ハッカーはMicrosoft 365アカウントに保存されているすべてのコンテンツを含め、完全なアクセス権を得ます。
翻訳元: https://www.csoonline.com/article/4111120/one-time-codes-used-to-hack-corporate-accounts.html
ソース: csoonline.com
