Live ID jako przyn臋ta: Kaspersky Lab ostrzega przed nowym oszustwem

Eksperci z Kaspersky Lab ostrzegaj膮 przed nowym atakiem phishingowym. Cyberprzest臋pcy wykorzystuj膮 identyfikator Windows Live ID jako przyn臋t臋, by kra艣膰 informacje osobiste z profili u偶ytkownik贸w w takich us艂ugach jak Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oraz OneDrive.


"Uczciwy" phishing

U偶ytkownicy otrzymuj膮 wiadomo艣ci z ostrze偶eniem, 偶e ich konta Windows Live ID s膮 wykorzystywane do rozsy艂ania niechcianych e-maili i mog膮 zosta膰 zablokowane. Aby tego unikn膮膰, nale偶y klikn膮膰 odno艣nik i uaktualni膰 dane zgodnie z nowymi wymaganiami us艂ugi. Brzmi to jak typowa tre艣膰 wiadomo艣ci phishingowej - od ofiar oczekuje si臋 klikni臋cia odno艣nika, kt贸ry prawdopodobnie otworzy sfa艂szowan膮 stron臋 logowania, gdzie u偶ytkownicy dobrowolnie "przeka偶膮" atakuj膮cym swoje loginy, has艂a i inne poufne informacje. Tym razem jest jednak inaczej - eksperci z Kaspersky Lab byli zdziwieni, gdy okaza艂o si臋, 偶e odno艣nik w cyberprzest臋pczej wiadomo艣ci kieruje do oficjalnej strony Windows Live, a do tego nie pojawi艂y si臋 偶adne pr贸by wy艂udzenia danych od u偶ytkownik贸w.

Na czym polega trik?

Po klikni臋ciu odno艣nika z wiadomo艣ci e-mail i pomy艣lnym zalogowaniu si臋 do swojego konta na oficjalnej stronie live.com u偶ytkownik otrzymuje nietypowe powiadomienie od us艂ugi. Komunikat informuje, 偶e aplikacja za偶膮da艂a zgody na automatyczne logowanie si臋 do konta, przegl膮danie profilu i listy kontakt贸w oraz na uzyskiwanie dost臋pu do listy osobistych adres贸w e-mail u偶ytkownika. Cyberprzest臋pcy zdo艂ali wykorzysta膰 t臋 technik臋 poprzez u偶ycie b艂臋d贸w w otwartym protokole uwierzytelniania - OAuth.

U偶ytkownicy, kt贸rzy klikn膮 "Tak", nie przekazuj膮 atakuj膮cym swoich danych logowania, ale daj膮 im dost臋p do osobistych informacji, takich jak adresy e-mail, pseudonimy, a nawet prawdziwe imiona i nazwiska ich znajomych. Cyberprzest臋pcy mog膮 tak偶e mie膰 wgl膮d w inne dane, takie jak listy spotka艅 i wa偶nych wydarze艅, w kt贸rych ma zamiar uczestniczy膰 ofiara ataku. Wszystkie te informacje mog膮 zosta膰 wykorzystane do przeprowadzania dalszych oszustw i podszywania si臋 pod inne osoby.

"O lukach w bezpiecze艅stwie protoko艂u OAuth wiemy ju偶 od jakiego艣 czasu - na pocz膮tku 2014 r. student z Singapuru zaprezentowa艂 metod臋 pozwalaj膮c膮 ukra艣膰 dane u偶ytkownika po tym jak zaloguje si臋 on do danej us艂ugi. Jednak po raz pierwszy widzimy zastosowanie tej techniki w phishingowych e-mailach wysy艂anych przez cyberprzest臋pc贸w. Oszust mo偶e wykorzysta膰 ten zabieg do stworzenia pe艂nych profili u偶ytkownik贸w, 艂膮cznie z informacjami o tym, co robi膮, z kim si臋 spotykaj膮, kto nale偶y do grona ich przyjaci贸艂 itp. Profile takie mog膮 by膰 nast臋pnie wykorzystywane do cel贸w przest臋pczych" - powiedzia艂 Andriej Kostin, starszy analityk tre艣ci, Kaspersky Lab.

Zalecenia dla u偶ytkownik贸w i tw贸rc贸w aplikacji

Eksperci z Kaspersky Lab przygotowali kilka porad, kt贸re pozwol膮 u偶ytkownikom uchroni膰 si臋 przed atakami phishingowymi wykorzystuj膮cymi Live ID:

  1. Nie klikaj odno艣nik贸w docieraj膮cych w e-mailach lub wiadomo艣ciach prywatnych na portalach spo艂eczno艣ciowych.
  2. Nie udzielaj nieznanym aplikacjom dost臋pu do Twoich danych osobistych.
  3. Upewnij si臋, 偶e rozumiesz uprawnienia, kt贸rych udzielasz poszczeg贸lnym aplikacjom.
  4. Je偶eli odkryjesz, 偶e jaka艣 aplikacja rozsy艂a spam lub niebezpieczne odno艣niki w Twoim imieniu, zg艂o艣 spraw臋 do administratora portalu spo艂eczno艣ciowego lub us艂ugi online, kt贸rej to dotyczy. Dzi臋ki temu administrator b臋dzie m贸g艂 szybko zablokowa膰 niebezpieczn膮 aplikacj臋.
  5. Stosuj oprogramowanie antywirusowe z wbudowan膮 ochron膮 przed phishingiem i dbaj o to, by by艂o zawsze aktualne.

Tw贸rcy aplikacji online wykorzystuj膮cych protok贸艂 OAuth powinni skorzysta膰 z nast臋puj膮cych zalece艅:

  1. Unikaj korzystania z otwartych przekierowa艅 na swoich stronach.
  2. Stw贸rz bia艂膮 list臋 zaufanych adres贸w i stosuj j膮 do przekierowa艅 realizowanych poprzez protok贸艂 OAuth. Oszu艣ci mog膮 realizowa膰 ukryte przekierowania do szkodliwych stron, korzystaj膮c z aplikacji, kt贸re uda si臋 zaatakowa膰 i zmieni膰 ich parametr "redirect_uri".

殴ród艂o:
Kaspersky Lab