How Attackers Weaponize Trusted Identity Endpoints

Threat actors are increasingly exploiting OAuth’s error-handling behavior to route phishing victims through login.microsoftonline.comaccounts.google.com. By crafting URLs that are designed to fail, attackers can silently redirect users to malicious infrastructure.

The “Poison Pill” URL: Attackers use the prompt=none and an invalid scope to force an immediate redirect without the victim seeing a single Microsoft or Google UI element.

Anatomy of a Malicious Authorization Request

GET /common/oauth2/v2.0/authorize
  ?client_id=<attacker_app_id>
  &prompt=none
  &scope=INVALID_SCOPE
  &response_type=code
  &redirect_uri=https://attacker-c2.com/phish

Detection & Mitigation Strategies

  • Monitor for Error 65001: Audit Entra ID sign-in logs for resultType = 65001 involving unknown application IDs.
  • Restrict User Consent: Disable user-led consent for multi-tenant applications or restrict it to “Verified Publishers” only.
  • Analyze State Parameters: Inbound emails containing OAuth URLs where the state parameter decodes to a victim’s email address are high-confidence indicators of phishing.

MITRE ATT&CK Mapping

Technique IDNameContext
T1566.002Spearphishing LinkMalicious OAuth URLs in emails.
T1557Adversary-in-the-MiddleCredential theft via EvilProxy.
T1574.002DLL Side-LoadingExecution via steam_monitor.exe.
Start Free Trial

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於 Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。
透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。