Kyberzločinci zneužívají Live ID jako návnadu

22. květen 2015 10:25 0 komentářů

Podvodníci zneužili Windows Live ID jako návnadu na získání osobních informací z uživatelských profilů. Na podvod upozornili analytici Kaspersky Lab. Týká se dat uložených v profilech služeb, jako jsou Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger či OneDrive.

„Poctivý phishing“ Uživatelé obdrží e-mailem varování, že je jejich Windows Live ID účet používán k distribuci nevyžádaných zpráv a bude zablokován. Aby tomuto předešli, jsou vyzváni k následování odkazu a aktualizaci uživatelských detailů v souladu s novými bezpečnostními požadavky služby. Tato zpráva vypadá jako typický phishingový e-mail, kdy se od obětí očekává, že kliknou na odkaz odkazující na falešný web napodobující oficiální stránky a zadají data, která budou zaslána podvodníkům. V tomto případě však odkaz v podvodném e-mailu skutečně vedl na oficiální web Windows Live a analytici nezaznamenali žádný pokus získat přihlašovací údaje či hesla uživatele.

Ovšem po úspěšném ověření účtu na oficiálních stránkách live.com, uživatelé obdrželi ze služby nezvyklou výzvu. Aplikace žádala povolení k automatickému přihlášení do účtu, zobrazení profilových informací, adresáře a přístupu k seznamu e mailových adres uživatelů, a to jak pracovních, tak osobních. Podvodníci při této technice využili bezpečnostní chyby v otevřeném protokolu pro autentizaci (OAuth).

Uživatelé, kteří klikli na „ano“, neprozradili své přihlašovací údaje a hesla, ale poskytli osobní data, e-mailové adresy svých kontaktů a přezdívky i reálná jména svých přátel. Povolit přístup bylo možné i k ostatním informacím, včetně seznamu schůzek či důležitých událostí. Tato data jsou pravděpodobně použita k podvodným účelům, jako například zasílání spamu kontaktům z adresáře oběti nebo zahájení cílených phishingových útoků.

O bezpečnostních chybách v OAuth protokolech již nějakou dobu víme. Na začátku roku 2014 singapurský student popsal možné cesty, jak ukrást data uživatelů po autentizaci. Toto je ale poprvé, co jsme narazili na použití phishingového e-mailu k uvedení těchto praktik do praxe. Podvodník může využít získané údaje k vytvoření podrobného obrazu uživatele, včetně informací o tom, co dělá, s kým se stýká, kdo jsou jeho přátelé a podobně. Tento profil pak může být zneužit ke kriminálním účelům,“ dodal přední analytik Kaspersky Lab Andrey Kostin.

Analytici Kaspersky Lab radí vývojářům webových aplikací pro sociální sítě pracující s OAuth protokolem:

  1. vyhnout se užívání otevřeného přesměrování z webových stránek,
  2. vytvořit si seznam důvěryhodných adres pro přesměrování pomocí OAuth. Podvodníci mohou provést skryté přesměrování na škodlivé stránky tím, že najdou aplikaci, kterou lze napadnout, a změní její „redirect_uri“ parametr.

Doporučení pro uživatele:

  1. Neklikejte na odkazy přijaté e-mailem nebo v soukromých zprávách na sociálních sítích.
  2. Neposkytujte neznámým aplikacím právo přistupovat k vašim osobním údajům.
  3. Ujistěte se, že plně rozumíte přístupovým právům k účtu, které vyžaduje každá aplikace.
  4. Pokud zjistíte, že aplikace distribuuje spam nebo škodlivé odkazy vaším jménem, můžete zaslat stížnost administrátorovi sociální sítě nebo webové služby a aplikace bude zablokována.
  5. Aktualizujte svou antivirovou databázi a anti-phishingovou ochranu.

Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

OBSE nezjistila, kdo loni napadl její servery

ČTK , 20. únor 2017 07:00

Organizace pro bezpečnost a spolupráci v Evropě (OBSE) nedokáže identifikovat strůjce loňských hacke...

Více 0 komentářů

Majitel Snapchatu jde na burzu s nižší hodnotou, než se čekalo

ČTK , 18. únor 2017 09:00

Americká společnost Snap, která provozuje populární mobilní aplikaci Snapchat pro sdílení fotografií...

Více 0 komentářů

Rozšířená realita pro marketing a výdaje na bezpečnost IT kvůli požadavkům EU

Pavel Houser , 18. únor 2017 08:35

Co vlastně obnáší pojem "digitální transformace podniků"? A co z toho vyplývá dle prognóz IDC?...

Více 0 komentářů

Starší zprávičky

Do roku 2020 vznikne v ČR 1200 stanic pro elektromobily

ČTK , 17. únor 2017 09:00

Do roku 2020 by mělo v Česku vzniknout celkem 1200 napájecích stanic pro elektromobily. Po setkání s...

Více 1 komentářů

ČTÚ: Zákaz individuálních cen volání zakonzervuje odvětví

ČTK , 17. únor 2017 07:00

Zákaz individuálních cen volání pro spotřebitele, který obsahuje návrh novely telekomunikačního záko...

Více 0 komentářů

Ústečan platil falešnými eury, objednal si je na internetu

ČTK , 16. únor 2017 16:30

Případ padělaných bankovek nakoupených přes internet objasnili kriminalisté v Ústeckém kraji. Falešn...

Více 3 komentářů

Buffetova investiční firma prudce zvýšila svůj podíl v Applu

ČTK , 16. únor 2017 14:00

Investiční společnost Berkshire Hathaway amerického miliardáře Warrena Buffetta v posledním čtvrtlet...

Více 0 komentářů