Eksperci z Kaspersky Lab ostrzegają przed nowym atakiem phishingowym. Cyberprzestępcy wykorzystują identyfikator Windows Live ID jako przynętę, by kraść informacje osobiste z profili użytkowników w takich usługach jak Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oraz OneDrive. Użytkownicy otrzymują wiadomości z ostrzeżeniem, że ich konta Windows Live ID są wykorzystywane do rozsyłania niechcianych e-maili i mogą zostać zablokowane.
„Uczciwy” phishing
Użytkownicy otrzymują wiadomości z ostrzeżeniem, że ich konta Windows Live ID są wykorzystywane do rozsyłania niechcianych e-maili i mogą zostać zablokowane. Aby tego uniknąć, należy kliknąć odnośnik i uaktualnić dane zgodnie z nowymi wymaganiami usługi. Brzmi to jak typowa treść wiadomości phishingowej – od ofiar oczekuje się kliknięcia odnośnika, który prawdopodobnie otworzy sfałszowaną stronę logowania, gdzie użytkownicy dobrowolnie „przekażą” atakującym swoje loginy, hasła i inne poufne informacje. Tym razem jest jednak inaczej – eksperci z Kaspersky Lab byli zdziwieni, gdy okazało się, że odnośnik w cyberprzestępczej wiadomości kieruje do oficjalnej strony Windows Live, a do tego nie pojawiły się żadne próby wyłudzenia danych od użytkowników.
Na czym polega trik?
Po kliknięciu odnośnika z wiadomości e-mail i pomyślnym zalogowaniu się do swojego konta na oficjalnej stronie live.com użytkownik otrzymuje nietypowe powiadomienie od usługi. Komunikat informuje, że aplikacja zażądała zgody na automatyczne logowanie się do konta, przeglądanie profilu i listy kontaktów oraz na uzyskiwanie dostępu do listy osobistych adresów e-mail użytkownika. Cyberprzestępcy zdołali wykorzystać tę technikę poprzez użycie błędów w otwartym protokole uwierzytelniania – OAuth.
Użytkownicy, którzy klikną „Tak”, nie przekazują atakującym swoich danych logowania, ale dają im dostęp do osobistych informacji, takich jak adresy e-mail, pseudonimy, a nawet prawdziwe imiona i nazwiska ich znajomych. Cyberprzestępcy mogą także mieć wgląd w inne dane, takie jak listy spotkań i ważnych wydarzeń, w których ma zamiar uczestniczyć ofiara ataku. Wszystkie te informacje mogą zostać wykorzystane do przeprowadzania dalszych oszustw i podszywania się pod inne osoby.
– O lukach w bezpieczeństwie protokołu OAuth wiemy już od jakiegoś czasu – na początku 2014 r. student z Singapuru zaprezentował metodę pozwalającą ukraść dane użytkownika po tym jak zaloguje się on do danej usługi. Jednak po raz pierwszy widzimy zastosowanie tej techniki w phishingowych e-mailach wysyłanych przez cyberprzestępców. Oszust może wykorzystać ten zabieg do stworzenia pełnych profili użytkowników, łącznie z informacjami o tym, co robią, z kim się spotykają, kto należy do grona ich przyjaciół itp. Profile takie mogą być następnie wykorzystywane do celów przestępczych – powiedział Andriej Kostin, starszy analityk treści, Kaspersky Lab.
Zalecenia dla użytkowników i twórców aplikacji
Eksperci z Kaspersky Lab przygotowali kilka porad, które pozwolą użytkownikom uchronić się przed atakami phishingowymi wykorzystującymi Live ID:
- Nie klikaj odnośników docierających w e-mailach lub wiadomościach prywatnych na portalach społecznościowych.
- Nie udzielaj nieznanym aplikacjom dostępu do Twoich danych osobistych.
- Upewnij się, że rozumiesz uprawnienia, których udzielasz poszczególnym aplikacjom.
- Jeżeli odkryjesz, że jakaś aplikacja rozsyła spam lub niebezpieczne odnośniki w Twoim imieniu, zgłoś sprawę do administratora portalu społecznościowego lub usługi online, której to dotyczy. Dzięki temu administrator będzie mógł szybko zablokować niebezpieczną aplikację.
- Stosuj oprogramowanie antywirusowe z wbudowaną ochroną przed phishingiem i dbaj o to, by było zawsze aktualne.
- Twórcy aplikacji online wykorzystujących protokół OAuth powinni skorzystać z następujących zaleceń:
- – Unikaj korzystania z otwartych przekierowań na swoich stronach.
- – Stwórz białą listę zaufanych adresów i stosuj ją do przekierowań realizowanych poprzez protokół OAuth. Oszuści mogą realizować ukryte przekierowania do szkodliwych stron, korzystając z aplikacji, które uda się zaatakować i zmienić ich parametr „redirect_uri”.