Eksperci z Kaspersky Lab ostrzegają przed nowym atakiem phishingowym. Cyberprzestępcy wykorzystują identyfikator Windows Live ID jako przynętę, by kraść informacje osobiste z profili użytkowników w takich usługach jak Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oraz OneDrive.

"Uczciwy" phishing

Użytkownicy otrzymują wiadomości z ostrzeżeniem, że ich konta Windows Live ID są wykorzystywane do rozsyłania niechcianych e-maili i mogą zostać zablokowane. Aby tego uniknąć, należy kliknąć odnośnik i uaktualnić dane zgodnie z nowymi wymaganiami usługi. Brzmi to jak typowa treść wiadomości phishingowej - od ofiar oczekuje się kliknięcia odnośnika, który prawdopodobnie otworzy sfałszowaną stronę logowania, gdzie użytkownicy dobrowolnie "przekażą" atakującym swoje loginy, hasła i inne poufne informacje. Tym razem jest jednak inaczej - eksperci z Kaspersky Lab byli zdziwieni, gdy okazało się, że odnośnik w cyberprzestępczej wiadomości kieruje do oficjalnej strony Windows Live, a do tego nie pojawiły się żadne próby wyłudzenia danych od użytkowników.

Na czym polega trik?

Po kliknięciu odnośnika z wiadomości e-mail i pomyślnym zalogowaniu się do swojego konta na oficjalnej stronie live.com użytkownik otrzymuje nietypowe powiadomienie od usługi. Komunikat informuje, że aplikacja zażądała zgody na automatyczne logowanie się do konta, przeglądanie profilu i listy kontaktów oraz na uzyskiwanie dostępu do listy osobistych adresów e-mail użytkownika. Cyberprzestępcy zdołali wykorzystać tę technikę poprzez użycie błędów w otwartym protokole uwierzytelniania - OAuth.

Użytkownicy, którzy klikną "Tak", nie przekazują atakującym swoich danych logowania, ale dają im dostęp do osobistych informacji, takich jak adresy e-mail, pseudonimy, a nawet prawdziwe imiona i nazwiska ich znajomych. Cyberprzestępcy mogą także mieć wgląd w inne dane, takie jak listy spotkań i ważnych wydarzeń, w których ma zamiar uczestniczyć ofiara ataku. Wszystkie te informacje mogą zostać wykorzystane do przeprowadzania dalszych oszustw i podszywania się pod inne osoby.

"O lukach w bezpieczeństwie protokołu OAuth wiemy już od jakiegoś czasu - na początku 2014 r. student z Singapuru zaprezentował metodę pozwalającą ukraść dane użytkownika po tym jak zaloguje się on do danej usługi. Jednak po raz pierwszy widzimy zastosowanie tej techniki w phishingowych e-mailach wysyłanych przez cyberprzestępców. Oszust może wykorzystać ten zabieg do stworzenia pełnych profili użytkowników, łącznie z informacjami o tym, co robią, z kim się spotykają, kto należy do grona ich przyjaciół itp. Profile takie mogą być następnie wykorzystywane do celów przestępczych" - powiedział Andriej Kostin, starszy analityk treści, Kaspersky Lab.

Zalecenia dla użytkowników i twórców aplikacji

Eksperci z Kaspersky Lab przygotowali kilka porad, które pozwolą użytkownikom uchronić się przed atakami phishingowymi wykorzystującymi Live ID:

1. Nie klikaj odnośników docierających w e-mailach lub wiadomościach prywatnych na portalach społecznościowych.
2. Nie udzielaj nieznanym aplikacjom dostępu do Twoich danych osobistych.
3. Upewnij się, że rozumiesz uprawnienia, których udzielasz poszczególnym aplikacjom.
4. Jeżeli odkryjesz, że jakaś aplikacja rozsyła spam lub niebezpieczne odnośniki w Twoim imieniu, zgłoś sprawę do administratora portalu społecznościowego lub usługi online, której to dotyczy. Dzięki temu administrator będzie mógł szybko zablokować niebezpieczną aplikację.
5. Stosuj oprogramowanie antywirusowe z wbudowaną ochroną przed phishingiem i dbaj o to, by było zawsze aktualne.

Twórcy aplikacji online wykorzystujących protokół OAuth powinni skorzystać z następujących zaleceń:

1. Unikaj korzystania z otwartych przekierowań na swoich stronach.
2. Stwórz białą listę zaufanych adresów i stosuj ją do przekierowań realizowanych poprzez protokół OAuth. Oszuści mogą realizować ukryte przekierowania do szkodliwych stron, korzystając z aplikacji, które uda się zaatakować i zmienić ich parametr "redirect_uri".

ŹródÅ‚o: Kaspersky Lab